攻防演练

　　攻防演练也称为护网行为，是针对全国范围的真实网络目标为对象的实战攻防活动，旨在发现、暴露和解决安全问题，更是检验我国各大企事业单位、部属机关的网络安全防护水平和应急处置能力。下列是我司在近几次的攻防演练的总结分享。一、演练前准备1、Linux
　　1）、限制IPssh远程登录
　　2）、安装杀毒软件
　　3）、删除多余用户
　　4）、修改服务器弱密码
　　5）、查看审计日志服务是否开启
　　6）、Nginx配置拦截访问
　　2、Windows
　　1）、关闭高危端口
　　2）、限制IP访问
　　3）、删除多余用户
　　二、演练中巡检1、Linux账号安全
　　1）、查看是否存在新增用户
　　catetcpasswd
　　2）、查看用户文件最近修改时间
　　lsaletcgreppasswd
　　3）、查看密码文件是否被篡改
　　catetcshadow
　　4）、查看是否存在新的shadow文件
　　lletcpass
　　5）、查看当前登录用户
　　who
　　6）、查看系统中所有用户最后一次登录时间
　　lastlog
　　7）、查看所有用户的登录、注销信息
　　last
　　8）、查看历史命令
　　history
　　入侵排查
　　1）、查看特权用户
　　awkF：30｛print1｝etcpasswd
　　2）、查看可以远程登录的账号信息
　　awk16｛print1｝etcshadow
　　3）、查看是否存在除root外的特权用户
　　moreetcsudoersgrepv34；grepALL（ALL）
　　4）、检查异常端口
　　netstatantlp
　　5）、查看异常进程
　　psauxgreppid
　　6）、查看定时任务
　　crontabl
　　7）、查看是否存在恶意脚本
　　catetccrontab
　　llvarspoolcron
　　lletccron。d
　　lletccron。daily
　　lletccron。hourly
　　lletccron。monthly
　　lletccron。weekly
　　lletcanacrontab
　　llvarspoolanacron
　　8）、查看360杀毒记录
　　2、Windows
　　1、检查端口连接情况，是否有远程连接、可疑连接。
　　netstatano查看目前的网络连接，定位可疑的ESTABLISHED，并无异常情况。
　　2。查看自启动程序，并无异常
　　wmicstartuplistfull
　　3。异常网络流量
　　1）查看共享文件，检查是否是主动分享的：
　　netview127。0。0。1
　　2）查看本机活跃的会话：
　　netsession
　　3）查看本机对其他系统打开的会话：
　　netuse
　　4）查看NetBIOSoverTCPIP的激活状态：
　　nbtstatS
　　5）查看当前网络连接和监听情况：
　　netstatna3
　　6）查看网络连接对应的进程id（o）和进程名字（b）
　　netstatnaob
　　7）。安全日志
　　运行：eventvwr。msc
　　过滤近24小时，审计失败，登录失败的日志，并未发现异常。