应急响应——分场景综合演练

本博客所有网络安全相关教程、漏洞原理、渗透实操、攻防技术等内容，仅用于合法安全学习、白帽技术交流、企业授权安全测试。
所有技术严禁用于未授权探测、非法入侵、数据窃取、网络攻击等任何违反《中华人民共和国网络安全法》的违法行为。
任何个人利用本文内容实施违规操作，所产生的一切法律责任与后果均由当事人自行承担，与本人无关。
倡导正向网络安全学习，坚守白帽底线，共建清朗网络环境。

场景一：Windows主机疑似被暴力破解

已知现象

主机卡顿，运维收到告警：短时间大量远程登录失败记录

分布排查步骤：

1.第一步：查看网络连接，确认访问来源

管理员CMD执行：

netstat -ano

重点查看：3389（RDP）、445端口的外连接IP

2.第二步：打开事件查看器，分析安全日志

运行eventvwr.msc ------>Windows日志------>安全

• 筛选事件ID4625（登录失败）：同一IP高频出现=RDP暴力破解
• 顺带查看4624（成功登录）：判断是否被攻破、有无陌生IP成功登入

3.第三步：检查系统账号，防止后门账号

net user    #列出所有本地帐号
net localgroup administrators   #查看管理员组账号，排查陌生账号

出现不明账号、不明管理员------>判定已被留后门

4.第四步：检查异常进程与服务

• 任务管理器------>详细信息：对照netstat -ano 的PID，定位外联进程
• 运行services.msc：查看陌生、异常启动的服务（对应事件ID 7045）

5.处置动作（简易应急）

• 临时防火墙封禁攻击IP
• 关闭不必要的3389外网映射
• 修改所有账号强密码
• 清理陌生账号、异常服务

场景二：Linux服务器疑似SSH爆破+异常登录

已知现象

服务器CPU正常、但安全日志大量登录失败，怀疑被SSH暴力破解

分布排查步骤：

1.实时查看登录日志

tail -f /var/log/secure

出现大量Failed password------>确认SSH爆破；

出现Accepted password------>确认成功入侵

2.查看历史登录记录

last   #所有成功登录记录
lastb   #所有登录失败记录

核对登录IP、登录时间、登录用户是否合法

3.检查当前在线用户

w

发现陌生在线用户------>立即警惕

4.检查进程与外联端口

netstat -antp
ss -ntul

查看是否存在对外陌生IP长连接（木马外联）

5.检查定时任务（防止持久化后门）

crontab -l
ls /etc/cron.*

6.处置动作

• 限制SSH登录IP、修改密码
• 禁用弱口令、关闭不必要外网SSH暴露

场景三：网站服务器疑似被SQL注入攻击

已知现象

网站访问异常，后台告警大量异常请求，服务器为Nginx。

分布排查步骤

1.定位Web日志，筛选注入特征

#进入日志目录
cd /var/log/nginx
#筛选注入关键词：'、union、select、and、or、
grep -i "union\|select\|and\|'" access.log

2.结合状态码判断

grep "500" access.log   #触发漏洞报错
grep "404" access.log   #目录扫描

3.统计攻击IP，找到攻击源

awk '{print $1}' access.log | sort |uniq -c | sort -nr

访问量最高的陌生IP即为主要攻击IP

4.服务器本地排查（防止被上传Webshell）

• 查找网站目录下陌生.php脚本文件
• 检查Linux异常进程、外联端口

5.处置动作

• 临时封禁攻击IP
• 修复代码漏洞、开启WAF防护
• 查杀Webshell

场景四：终端主机疑似中木马，异常对外联网

已知现象

本机网络流量偏高，后台检测到主机主动外联陌生IP

分布排查步骤（Windows为例）

1.用命令定位异常连接与PID

netstat -ano

找到：外网陌生IP+陌生端口+对应PID

2.通过PID定位恶意进程

打开任务管理器------>详细信息，根据PID找到对应程序

特征：无图标、路径异常、非正规软件进程

3.抓包分析流量（Wireshark）

过滤语句

ip.addr == 恶意IP

观察：心跳包、间断数据传输------>典型远控木马流量

4.溯源启动项（防止重启复现）

• Autoruns /任务管理器 ------>启动项
• 注册表启动项、计划任务，清理陌生开机程序

5.处置动作

• 断网隔离主机
• 结束恶意进程、删除木马文件
• 清理启动项、全盘查杀

常用命令&工具汇总（个人速查表）

1.Windows高频命令

eventvwr.msc    #事件查看器
netstat -ano    #查看网络连接+PID
net user        #常看本地用户
net localgroup administrators   #查看管理员组
services..msc   #系统服务
tasklist        #查看进程

2.Linux高频命令

tail -f 日志路径   #实时看日志
grep 关键词 日志文件   #筛选日志
last / lastb      #登录记录
ss -ntul / netstat -antp    #端口连接
crontab -l        #查看定时任务
ps aux            #查看所有进程

3.Wireshark核心过滤语句

tcp / udp / http /dns
ip.src == 源IP
ip.dst == 目标IP
tcp.port == 22 / 3389 / 445
tcp.flags.syn==1 && tcp.flags.ack==0  #扫描SYN包 

4.Web日志常用筛选关键词

union、select、and、or、'、script、upload、.php

5.Windows必记事件ID

4624（登录成功）、4635（登录失败）、4688（命令执行）、4720（新建帐号）、7045（新增服务）