什么是应急响应

应急响应流程是一种在突发事件发生时组织和协调资源、快速响应并减轻损失的计划。一个有效的应急响应流程可以帮助组织提高应对风险的能力，保障人员安全和财产

简单来说是服务器电脑被入侵了我们怎么阻止和预防

刷应急的平台的话就是：首页 - 玄机

这边推荐一个比较好的博客有助于应急响应的学习：Bypass007/Emergency-Response-Notes: 应急响应实战笔记，一个安全工程师的自我修养。

一些知识点

linux知识点

一些命令

cd /etc/systemd/system
 #查看启动项
 
netstat -tulnp
#查看当前主机上所有监听（LISTEN）状态的 TCP / UDP 端口及其对应进程信息。
或者ss -tulnp

find / -type f -newermt '2024-09-24 01:30:00' ! -newermt '2024-09-24 23:31:00' 2>/dev/null|grep -v docker

#查看时间段内修改的文件
#2>/dev/null 忽略报错
#grep -v docker忽略docke

strace -f -e trace=file /bin/cat
#追踪cat命令执行过程中访问了哪些文件

分析账号

1 2	cat etc/passwd #可以看有哪些账号和对应密码的哈希

查看进程

1 2	ps aux \| grep pid #查看异常进程

查看bash历史记录

1	cat .bash_history

在 /etc 目录及其所有子目录中，搜索包含字符串 “is.world” 的所有文件和行。

1	grep -Er "is.world" /etc

寻找数据库的登录信息，一般在“config.inc.php”

1	find / -name config.inc.php

查找一下黑客比文件“cpg.php“新，又比闻文件“Balance.frm”旧的所有文件；

1	find / -type f -newer /var/www/html/plugins/cpg.php ! -newer /var/lib/mysql/JPMorgan@0020Chase/Balance.frm

看后台进程

ps -ef

查看计划任务

1 2	crontab -l ls -la /etc/cron*

着重翻看一下log文件

服务器log文件可能在/www/wwwlogs/access.log

/tmp目录一般会被黑客放一些存在长期未变动但可执行的文件（非预期的大文件或可执行）；

所以后门可能会藏在这。

apache日志有可能在 **/var/log/apache2/**或 **/var/log/httpd/**下

wireshark查找黑客在哪个php上传后门文件的时候可以查找一下boundary

在 Wireshark 中分析文件上传时，boundary 一般常用在 multipart/form-data POST 请求中分隔不同的部分（part），例如文件和其他数据。

黑客持久化的方式一般可能是修改以下shell文件：

1、”/.bashrc“：用于 Bash Shell，会在每次打开新的终端或登录 Shell 时执行。
2、”/.bash_profile“或”/.profile“：这些文件在用户登录时执行。
3、”/.zshrc“：用于Zsh Shell，与”~/.bashrc“类似。
4、”/etc/profile“：为所有用户提供的系统级别的配置文件，
5、”/etc/bash.bashrc“：为所有用户提供的系统级别的配置文件，Bash Shell 专用。