1、病毒

病毒是编制者在计算机程序中插入的破坏计算机功能或者数据的代码，能影响计算机使用，能自我复制的一组计算机指令或者程序代码。病毒有独特的复制能力，它们能够快速蔓延，又常常难以根除。近期较流行的病毒包括挖矿病毒、勒索病毒、肉鸡病毒等。

排查分析

1、查看系统资源状态，排查系统资源利用率是否存在异常

• Linux使用top命令查看系统资源

• Linux使用iftop等命令可查看网卡流量情况

• Windows通过任务管理器查看CPU、内存、网络等情况，快捷键ctrl+shift+esc

2、查看系统进程列表，排查是否存在可疑运行程序。

• Linux使用ps 命令查看当前运行的进程列表
• 说明

ps aux：

• a 与终端相关的进程
• u 以用户为中心组织进程状态信息显示
• x 与终端无关的进程

ps -ef：

• e 显示所有进程
• f 显示完整格式程序信息

ps -eFH：

• e 显示所有进程
• F 显示完整格式的进程信息
• H以进程层级格式显示进程相关信息

• Windows通过任务管理器查看，快捷键ctrl+shift+esc

3、查找系统中新创建的文档，定位可疑文件位置

• Linux可使用find命令查找最近几分钟内修改过的文件，例如

• Windows通过文件管理器的高级搜索或者搜索筛选器查找

4、查看系统开放端口和网络连接

• Linux和Windows均可使用netstat命令查看，同时可以结合findstr或者grep匹配进程号PID查找可疑进程对应的连接

5、抓包取证

• Linux可使用tcpdump命令进行抓包

• Windows可安装wireshark进行抓包

6、常见几种病毒特征

• 肉鸡病毒（僵尸病毒）

一种潜伏服务器，收集信息，组件僵尸网络发起网络攻击等行为的病毒程序，例如下面发现的可疑进程，并存在可疑的网络连接，怀疑与外部控制端通信，并可能存在对外受害主机发起流量攻击。

• 挖矿病毒

一种利用服务器资源，进行虚拟币挖掘获取利益的恶意病毒程序，如下图为一个挖矿病毒的进程minerd，是一个linux 比特币挖矿程序，占用极高的CPU资源

• 勒索病毒

对系统的部分或全部数据文件进行加密，通过虚拟币的形式进行勒索，感染这种病毒后，会显眼的通知已中毒并详细介绍交付赎金的方法。

应急手段：

1、立刻断开受感染主机的网络，如禁用网卡

2、遇到勒索病毒正在加密过程中的情况，立刻关机，防止其进一步加密重要文件

3、查找出病毒进程、文件，杀掉病毒进程并删除病毒文件

4、安装杀毒软件并使用最新的病毒库，进行病毒查杀

防范措施：

1、安装杀毒软件并定期更新病毒库，或者订购移动云主机安全产品

2、部署入侵检测系统或者订购移动云网络入侵检测产品，对病毒事件进行事前事中发现

3、关闭不必要开放端口和进程

4、不随便打开可疑邮件及附件

5、定期安装系统及软件更新补丁

6、定期进行重要数据备份

2、DDos

DDoS是英文Distributed Denial of Service的缩写，即分布式拒绝服务，DDoS的攻击通过很多“僵尸主机”向受害主机发送大量看似合法的网络包，从而造成网络阻塞或服务器资源耗尽而导致拒绝服务，分布式拒绝服务攻击一旦被实施，攻击网络包就会犹如洪水般涌向受害主机，从而把合法用户的网络包淹没，导致合法用户无法正常访问服务器的网络资源，因此，拒绝服务攻击又被称之为洪水式攻击，常见的DDoS攻击手段有SYN Flood、ACK Flood、UDP Flood、ICMP Flood、Connections Flood等。

排查分析

1、查看系统资源状态，排查系统资源利用率是否存在异常

• Linux使用top命令查看系统资源

• Linux使用yum -y install iftop 命令，然后使用iftop命令可查看网卡流量情况

• Windows通过任务管理器查看CPU、内存、网络等情况，快捷键ctrl+shift+esc

2、查看系统开放端口和网络连接

• Linux和Windows均可使用netstat命令查看，同时可以结合findstr或者grep匹配连接状态，例如netstat -an | grep  SYN_RECV，以下为遭受SYN Flood的Linux产生大量SYN_RECV状态的连接

3、抓包分析

• Linux使用yum -y install tcpdump命令, 然后使用tcpdump命令进行抓包
• Windows使用wireshark进行抓包，通过抓包分析，若主机受到DDos攻击，流量上会有较明显特征，例如SYN Flood会有如下大量从攻击者随机端口发送目标主机固定一个或多个TCP端口

4、常见几种DDos流量特征

• SYN Flood

• UDP Flood

• ACK Flood

应急手段：

通过主机防火墙或网络防火墙，对异常流量的源IP进行封堵：

• Linux使用iptables，如iptables -I INPUT -s 攻击源IP -j DROP
• Windows使用IP筛选器，打开路径为控制面板--管理工具--本地安全策略

防范措施：

1、开启系统syn flood防护配置，如Windows注册表的SynAttackProtect、TcpMaxPortsExhausted、TCPMaxHalfOpen、TCPMaxHalfOpenRetried、EnableDeadGWDetect、KeepAliveTime等，Linux的/etc/sysctl.conf配置或者iptables限制等；

2、关闭不必要开放端口，对互联网开放端口配置IP白名单过滤不可信源的流量；

3、部署流量检测和流量清洗设备，或者购买移动云抗DDOS产品对异常流量进行检测和清洗；

3、系统入侵

系统入侵，就是在未经过授权的情况下，非法访问和进入系统，以达到窃取信息、破坏系统、占用资源的目的。常用的手段包括漏洞利用、暴力破解、弱口令、社会工程学等。

排查分析

1、查看系统用户及用户组，确认是否存在可疑用户

• Linux用户文件为/etc/passwd及/etc/group

• Windows通过“计算机管理”界面下，选择“本地用户和组”查看

2、查看系统远程登陆情况，排查是否存在可疑登陆

• Linux通过last、who、history等命令查看

• Windows通过win+r 运行，输入eventvwr.msc 启动事件查看器，排查是否存在可疑登陆源IP

3、查看系统日志，并进行分析

• 如Linux的/var/log下的日志，Windows事件查看器中的系统日志、应用程序日志和安全日志

应急手段

1、删除可疑用户，断开：可疑登陆连接

2、修改存在弱口令或可能泄露的用户口令密码

3、通过主机防火墙白名单限制用户登陆源IP

防范措施：

1、设置高强度的口令密码，并定期更新

2、根据安全基线配置，加固系统配置，如口令复杂度策略、修改周期策略等

3、定期进行漏洞扫描和渗透测试，及时发现漏洞并根据具体问题加固整改

4、部署入侵检测防御系统（IDS/IPS）进行入侵发现和防御，或者购买移动云网络入侵检测产品

4、WEB攻击

随着互联网的迅猛发展，基于WEB的应用系统被广泛应用于各个领域，WEB技术的发展给人们生活带来便利的同时，也带来极大的安全隐患。根据调查，信息安全攻击有75%都是发生在WEB应用上。OWASP总结了WEB应用程序最可能、最常见、最危险的十大漏洞，前三位的漏洞有注入、失效的认证和会话管理、XSS。

排查分析

1、查看系统资源状态，排查系统资源利用率是否存在异常：

• Linux使用top命令查看系统资源，使用iftop等命令可查看网卡流量情况

• Windows通过任务管理器查看CPU、内存、网络等情况，快捷键ctrl+shift+esc

2、查看web访问日志，如apache的access.log，根据可疑请求特征确定web攻击类型

3、常见web攻击类型特征

• SQL注入

• XSS

防范措施：

1、使用非管理员用户（root/administrator）权限运行web中间件。

2、定期对网站进行漏洞扫描和渗透测试，及时发现漏洞并根据具体问题加固整改。

• SQL注入漏洞：对需要进行数据库查询的参数给予充分验证，使用参数化的查询、过滤特殊字符或进行强制类型转换。
• XSS跨站脚本漏洞：对用户输入的数据进行全面安全检查或过滤，尤其注意检查是否包含HTML特殊字符。

3、对操作系统、中间件、数据库配置进行安全加固。

4、部署WEB应用防火墙或者购买移动云WEB应用防护产品进行防御。