扫码领资料获网安教程免费&进群Windows应急响应案例查看态势感知,发现受害主机被上传到Jsp木马,此IP经过威胁情报,被判断为恶意IP。结论:确认受害主机存在文件上传漏洞被攻击者成功探测到...
小型企业指南:响应与恢复
这块内容,是英国NCSC为小型企业的指南,在响应与恢复工作中可以作为参考,多个思路。我国在这方面也有对应的国家标准,我们可以借鉴国外的一些思路,遵循我国的法律法规与国家标准的情况下开展工作,接下来我们...
勒索病毒应急处置分享
一、 常见的勒索病毒什么是勒索病毒?勒索病毒在感染主机之后,会在主机上运行勒索程序,遍历本地所有磁盘指定类型文件进行加密操作,加密后文件无法读取。然后生成勒索通知,要求受害者在规定时间内支付一定价值的...
蓝队加固训练:Linux用户权限排查及加固
Linux系统是多用户操作系统,Linux系统通过识别用户名称对应的id号来判断,Linux用户名和id对应的关系都储存在我们常/etc/passwd中以冒号为分解root是用户名;x是用户密码;0是...
Windows安全基线核查加固助手
WindowsBaselineAssistant介绍WindowsBaselineAssistant(WBA)是一个用于检测和加固Windows安全基线的辅助工具,借助此工具你可以免去繁琐的手工检测和...
典型挖矿样本分析 | somescript.sh
样本概述本次分析的样本是MalGeneric家族的挖矿脚本—somescript.sh。挖矿主程序Warmup是XMrig挖矿病毒的变种。somescript.sh是挖矿程序的前置程序,主要行为包括:...
如何快速判断客户端是否存在恶意连接
当我们需要判断一个客户端是否存在恶意连接,最直接的方式是通过防火墙或安全设备的日志进行分析,但由于各种原因,如相关特征库未及时更新,又或者没有完善相关的安全策略,导致没有监控到相关的恶意行为,这时...
企业挖矿病毒处置实战——专杀脚本从0到1
扫码领资料获网安教程前期排查根据态势感知日志,发现主机外联挖矿地址89.xx.xx.125,但是查看外联进程发现进程对应文件已被删除。这里使用一个小技巧 可以将内存中的进程信息保存出来。在进程中过滤k...
记录两次恶意邮件分析排查记录
01 背景 一次攻防演练值守期间,收到客户上报两起邮件相关的安全事件,收到事件上报后立即展开排查处理 事件一,一员工在清理邮箱历史邮件时,触发了天擎的病毒实时查杀告警,提示该邮件为病毒邮件...
Linux 常见安全检查方法
一、检查系统密码文件,查看文件修改日期# ls -l /etc/passwd二、查看 passwd 文件中有哪些特权用户# awk -F: '$3= =0 {print $1}' /etc/passw...
记一次病毒应急
客户打电话给我说,发现内网有点不对劲,有些终端被断网几分钟,在FW上还发现了DOS攻击事件,于是上门排查现场环境:1、出口部署某公司FW;2、FW下联深信AC,网桥部署,控制用户上网行为及流控;3、A...
Windows数字取证和应急响应手册
01前言分享一个Windows数字取证和应急响应的手册,里面介绍的技术和工具都是经过实战检验过的。部分内容如下,因为文档比较大,有需要的可以通过下面的网盘链接进行下载。目录如下:1. 事件响应流程.....
61