0x01 事情概述某单位服务器出现问题了,但是出问题的是某云服务器,出现外联德国的行为,告警行为远控,可能没有日志,还比较急,让先支持处置,有可能的话帮忙溯源好抓人,给了个处置对的第三方师傅。0x02...
应急响应 - Tips
如何证明恶意的宏被启用和点击了?HKEY_LOCAL_MACHINEUSERDATSoftwareMicrosoftOffice<VERS><PROGRAM>SecurityT...
HW应急溯源:50个高级命令实战指南
在攻防对抗中,快速精准的应急溯源能力是防守方的核心武器。本文整理出50个实战中真正高频使用的高级命令组合,助你提升溯源效率。一、日志深度分析与关联1. 多日志源联合检索# 跨系统日志关联(Syslog...
Linux被植入木马的排查流程
在日常繁琐的运维工作中,对linux服务器进行安全检查是一个非常重要的环节。今天,分享一下如何检查linux系统是否遭受了入侵?一、是否入侵检查1)检查系统日志检查系统错误登陆日志,统计IP重试次数(...
服务器入侵排查
文章来源 :Devops技术栈随着开源产品的越来越盛行,作为一个Linux运维工程师,能够清晰地鉴别异常机器是否已经被入侵了显得至关重要,个人结合自己的工作经历,整理了几种常见的机器被黑情况供参考:背...
SSH安全加固脚本模板(Shell 脚本)
这是一个完整的 SSH 安全加固 Shell 脚本模板,适用于常见的 Linux 系统(如 CentOS、Ubuntu)。该脚本功能禁用不必要的 SSH 功能强制使用密钥认证限制登录用户和来源 IP配...
《云原生安全攻防》 云原生场景下的应急响应思路
随着容器和K8s技术的广泛应用,各种安全事件也日益增多。一旦发生安全事件,我们需要第一时间做出应急响应,以最短时间内恢复业务正常运行。 在本节课程中,我们将从防守者的视角出发,深入了解云原生场景下的...
从随机梯度下降到应急响应的技术感悟|第2周周记
📚 本周技术输出本周持续深耕网络安全技术领域,完成了三篇技术文章的撰写与发布,覆盖了从侦察到流量分析的完整安全测试链条。《Chaos工具完全指南:快速发现子域名的神器》深度解析了ProjectDisc...
应急响应案例-32.H-worm木马分析
1. 背景H-worm应该是相对比较老的木马了,主要是利用vb来写的,通过X情报平台可以看到已关联到相关的家族H-WORM家族远控木马分析开发与传播:H-WORM借鉴了njRAT的开源代码,服务端为使...
Linux应急响应寻根排查:揪出潜伏在启动项中的恶意种子
大家好,我是你们的技术探险家!想象一下这个场景:你发现并手动查杀了一个服务器上的恶意进程,清理了它释放的临时文件。你以为战斗已经结束,但在服务器重启后不久,那个熟悉的恶意进程又“奇迹般地”出现了。这不...
玄机:日志分析-Tomcat日志分析
背景小王在自己的服务器上安装配置了Tomcat,并写了几个简单的网页。但由于安全意识不足,很快就被攻击者利用了。请你帮他排查一下存在的安全问题。RDP 端口3389 用户名/密码:Administra...
Windows应急响应拆弹指南:深入排查潜伏在系统启动项中的定时炸弹
大家好,我是你们的技术探险家!想象一下,你刚刚经历了一场惊心动魄的应急响应,成功清除了正在内存中活动的恶意软件。你松了一口气,准备重启服务器恢复业务。但,你真的“赢”了吗?重启的那一刻,可能正是攻击者...