OPSEC
OPSEC,全称为Operations Security,即⾏动安全,也叫作战安全。
最先是美国军队提出的⼀套⾏动纲领,⽤于保障国防机密信息安全,包括⾏动mission、作战单元部署位置和时间、⼈事交易等等。
确定关键信息 -> 分析威胁信息 -> 研究解决措施 -> 评估⻛险矩阵 -> 实施解决⽅案
攻击者画像:
身份信息:
姓名、ID、⼿机号、身份证、⼈物照⽚、公司、学校、团队等
社交信息:
QQ、微信、⽀付宝、邮箱、微博、昵称id等
位置信息:
地理位置、公司位置、攻击位置等
资产信息:
攻击IP、攻击域名、C2地址、跳板机IP等
样本信息:
攻击样本、攻击⼿法、C2地址
清除webshell
caidao
weevely
antSword
rebeyond
Godzilla
清除隧道⼯具
Icmpsh
Pingtunnel
EarthWorm
Venom
Stowaway
Frp
Udp2raw
DnsCat2 && Dnscat2-Powrshell
Tunna
reGeog&&Neo-reGeorg
abptts
清除落地样本
清除落地样本,避免捕获分析、免杀失效、被狩猎和攻击劫持。
清除WEB⽇志
tomcat
tomcat ⽇志信息分为两类:
⼀是运⾏中的⽇志,它主要记录运⾏的⼀些信息,尤其是⼀些异常错误⽇志信息 。
⼆是访问⽇志信息,它记录的访问的时间,IP ,访问的资料等相关信息。
记录系统启、关闭⽇志、管理⽇志和异常信息:
conf/logging.properties tomcat的⽇志配置
logs/catalina.xx.log
logs/host-manager.xx.log
logs/localhost.xx.log
logs/manager.xx.log
WebLogic
默认配置情况下,WebLogic会有三种⽇志,分别是access log, Server log和domain log
WebLogic 9及以后版本:
access log在 $MW_HOME\user_projects\domains\<domain_name>\servers\<server_name>\logs\access.log
server log在 $MW_HOME\user_projects\domains\<domain_name>\servers\<server_name>\logs\<server_name>.log
domain log在 $MW_HOME\user_projects\domains\<domain_name>\servers\<adminserver_name>\logs\<domain_name>.log
WebLogic 8.x 版本:
access log在 $MW_HOME\user_projects\domains\<domain_name>\<server_name>\access.log
server log在 $MW_HOME\user_projects\domains\<domain_name>\<server_name>\<server_name>.log
domain log在 $MW_HOME\user_projects\domains\<domain_name>\<domain_name>.log
Apache和Nginx
Apache安装路径:%Apache_home%
默认路径:%Apache_home%\logs\access.log
Nginx安装路径假设:%Nginx_home%
配置⽂件nginx.conf中配置⽇志路径如:access_log logs/access.log main
访问⽇志默认路径:%Nginx_home%\logs\access.log
Jboss和WebSphere
Jboss的配置⽂件和⽇志⽂件jboss-log4j.xml:
如:server/XXX/conf/jboss-log4j.xml server/XXX/log/server.log
WebSphere的默认路径:
IBM\WebSphere\AppServer\profiles\AppSrv01\logs\server1\SystemOut.log
清除系统⽇志
安全⽇志⽂件:%systemroot%\system32\config\SecEvent.EVT;
系统⽇志⽂件:%systemroot%\system32\config\SysEvent.EVT;
应⽤程序⽇志件:%systemroot%\system32\config\AppEvent.EVT;
DNS⽇志:%systemroot%\system32\config\DnsEvent.EVT;
删除指定记录的⽇志:
https://github.com/QAX-A-Team/EventCleaner
清除敏感⽬录⽂件
C:\Windows\Temp
C:\Users\All Users\
C:\ProgramData\
C:\Users\Admin\AppData\Local\Temp\
C:\Users\ Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
清除计划任务
清除远程桌⾯连接记录
@echo off
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"
cd %userprofile%\documents\attrib Default.rdp -s -h
del Default.rdp
清除登陆⽇志
/var/log/wtmp 记录所有⽤户最近登陆信息,⽤last命令查看
/var/log/lastlog 记录⽤户最后⼀次登录的信息,⽤lastlog命令查看
/var/log/btmp 记录登录系统失败的⽤户信息,⽤lastb命令查看
/var/log/utmp 记录当前正登录的⽤户及其执⾏信息,⽤who或w命令查看
/var/log/message 记录系统重要信息(异常错误等)信息
/var/log/secure 记录安全相关:验证授权,账号密码信息,如ssh登陆su切换sudo授权
/var/log/cron 记录定时任务执⾏相关的⽇志信息
/var/log/auth.log 包含系统授权信息,包括⽤户登录和使⽤的权限机制等
/var/log/userlog 记录所有等级⽤户信息的⽇志
清除操作⽇志
rm -rf .bash_history
history -c
清除计划任务
1、查看任务:crontab –l 或 cat /etc/crontab 或 more /etc/crontab
2、查询⽤户的任务:crontab -u root –l
3、删除⽤户的任务:crontab –u root –r
4、编辑⽤户的任务:crontab –u root –e
5、其他定时任务⽬录⽂件:
/etc/cron.d/* //存放系统级任务的任务⽂件
/etc/cron.hourly/* //存放每⼩时任务
/etc/cron.daily/* //存放每⽇任务
/etc/cron.weekly/* //存放每周任务
/etc/cron.monthly/* //存放每⽉任务
/etc/anacrontab //存放系统级的任务
/var/spool/cron/* //放各个⽤户的任务⽂件
6、计划任务的⽇志:/var/log/cron*
清除SSH免密钥登陆
rm -rf .ssh/