更多全球网络安全资讯尽在邑安全事件背景某客户被通报存在黑链页面显示招租广告,而且只有通过百度跳转才会显示下图页面:排查过程1、前期常规排查,第一反应就是去服务器本地寻找黑链页面"/news/artic...
04月17日5 views评论nsa
应急响应
应急响应 | 扑朔迷离的黑链
04月17日5 views评论nsa
应急响应
04月17日5 views评论nsa
应急响应
我的应急响应回顾总结
扫码领资料获网安教程# 我的应急响应回顾总结 ## 应急响应的定义 利用百度的概括来说就是针对各种意外、突发事件的准备以及事件发生后所采取的措施。其根本意义在于将该事件造成的损失降到最低。## 心得 ...
04月16日35 views评论应急响应
注册表
常用服务器分析日志命令
1、查看有多少个IP访问:awk '{print $1}' log_file|sort|uniq|wc -l2、查看某一个页面被访问的次数:grep "/index.php" log_file | w...
04月16日应急响应17 views评论awk
uniq
windows 日志分析
前置知识常用事件 ID 含义 Event ID(2000/XP/2003) Event ID(Vista/7/8/2008/2012) 描述 日志名称 528 4624 成功登录 Security 5...
04月04日6 views评论csv
extract
WannaMiner 挖矿木马手工检测笔记
发现可疑进程:外部扫描: 该木马通常会开启65531-65533 端口 nmap -p65531-65533 --open -oG d:\result1.txt 10.230.12.1/16 过滤出受...
04月04日8 views评论snmpstorsrv
挖矿木马
应急响应笔记 windows 常用命令记录
以下案例均为项目中遇到的,欢迎补充,文章随时更新 0x01 删除指定hash值的文件需求:已知恶意文件md5值为:59B18D6146A2AA066F661599C496090D、6FF97A7DAB...
04月04日6 views评论filter
应急响应
Windows日志总结
扫码领资料获网安教程windows 开启审核策略 运行 secpol.msc 可以打开本地安全策略,依次点开本地策略-审核策略。可以看到windows默认情况是没有开启审核策略的,不开启策略的话,wi...
04月02日11 views评论audit
系统日志
安全事件应急响应排查指南
安全事件应急响应排查指南应急响应事件分类应急响应事件分类web入侵:网页挂马、主页篡改、Webshell系统入侵:病毒木马、勒索软件、远控后门挂黑 --- 0day 怎么处理被植入webshell怎...
04月02日6 views评论webshell
应急响应
【实景挑战 | 应急】流量分析-Tomcat安全事件痕迹捕捉
免责声明文章所涉及内容,仅供安全研究与教学之用,由于传播、利用本文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。题目来源玄机应急响应靶场平台https:...
04月02日28 views评论安全事件
流量分析
勒索攻击应急流程
当确认感染勒索病毒后,应当及时采取必要的自救措施。之所以要进行自救,主要是因为:等待专业人员的救助往往需要一定的时间,采取必要的自救措施,可以减少等待过程中,损失的进一步扩大。例如:与被感染主...
03月26日20 views评论勒索攻击
勒索病毒
恶意通讯流量案例分析,钓鱼邮件附件链路执行,导致Cobalt Strike、IcedID木马受控等多种威胁行为
前言 此恶意流量分析系列文章会长期更新,作者会四处收录一些来自生产环境的综合案例,案例主体内容是有相对完整攻击链路的恶意通讯数据包(包括主动扫描、暴力破解、漏洞利用、木马通讯等)。并且我会提供案例数据...
03月16日12 views评论案例
流量
应急响应|SEO暗链排查和溯源
朋友的网站本来想看看seo做的怎么样,结果发现被劫持了。pc端是正常访问的,手机端则跳转到bc站。先看看前端里面被劫持的内容<title>ky&...
03月14日26 views评论SEO暗链排查
应急响应
61