1.日志分析入侵者ip:192.168.123.1先利用notepad将日志筛选,选择出自己想要的部分,然后分析 1)扫描网站[27/May/2019:15:50:07入侵者开始扫描网站后台...
10月09日47 views评论name
type
网站被入侵后的应急响应
10月09日47 views评论name
type
10月09日47 views评论name
type
linux检测系统是否被入侵(上)
入侵者在入侵成功后,往往会留下后门以便再次访问被入侵的系统,而创建系统账号是一种比较常见的后门方式。在做入侵排查的时候,用户配置文件/etc/passwd和密码配置文件/etc/shadow是需要去重...
10月08日应急响应66 views评论user
用户
linux检测系统是否被入侵(下)
检查系统的异常文件查看敏感目录,如/tmp目录下的文件,同时注意隐藏文件夹,以.为名的文件夹具有隐藏属性> ls -al查找1天以内被访问过的文件> find...
10月08日应急响应52 views评论ip
文件
蓝队溯源流程详细整理
背景:授权授权攻防演练过程中,攻击者千方百计使用各种方法渗透目标。一般情况下攻击链包括:侦察、武器化、交付、利用、安装、命令和控制、窃取目标数据。在溯源中,安全人员对攻击者某个阶段的攻击特点进行分析,...
10月08日98 views评论ip
攻击者
网络归因溯源之误区刍议(二)
今天是系列文章的第二部分。开放互联是互联网的设计初衷。在这样一个设计理念指导下,无需通过中心化的接入认证,任何人都可以自由的接入网络;借助代理跳板、加密隧道、多重转发等各种巧妙的技术手段,互联网更是为...
10月05日46 views评论攻击者
网络
攻防场景中流量分析研判与取证
前言在攻防场景中,所在场地一般有安全设备,但是有些时候依赖安全设备的信息不能很好的推断,所以需要下载数据包进行研判分析一波,这里跟着奥师傅的三个案例:at,schtasks和打印机流量进行一个分析学习...
10月05日71 views评论uuid
流量分析
记一次Linux木马清除过程
来自:FreeBuf.COM,作者:xyl870612链接:https://www.freebuf.com/articles/system/208804.html一、事件描述某天监控同事反馈有台机器c...
10月05日26 views评论cron
kill
如何判断Linux服务器是否被入侵?
背景随着开源产品的越来越盛行,作为一个安全工程师,能够清晰地鉴别异常机器是否已经被入侵了显得至关重要,个人结合自己的工作经历,整理了几种常见的机器被黑情况仅供参考~ 以下情况是在CentOS...
10月02日45 views评论sshd
服务器入侵
网站被入侵后的应急响应实战
1.日志分析入侵者ip:192.168.123.1先利用notepad将日志筛选,选择出自己想要的部分,然后分析1)扫描网站[27/May/2019:15:50:07入侵者开始扫描网站后台[27/Ma...
10月01日27 views评论入侵者
应急响应
【渗透测试实战系列】47|-实战某高校的一次挖矿病毒的应急处置
目录0x00 缘起0x01 信息收集0x02 现场排查及处置0x03 溯源分析过程0x04 应急响应事件结论0x05 存在的威胁一、安全意识问题二、终端安全0x06 安全加固和改进建议一、系统加固建议...
10月01日46 views评论信息收集
渗透测试
Linux 应急响应手册 v1.5
简介 本次更新主要有三项,其中较大的改动是增加了非持续性事件处置流程及方法持续性的挖矿、远控后门等事件可以通过直接排查发现,但是在实际工作中,很多恶意行为(访问恶意域名、连接恶意IP)只集中出现了几次...
10月01日102 views评论应急响应
应急响应手册
FreeBuf:实战某高校的一次挖矿病毒的应急处置
0x00 缘起在风和日丽的周五,我抱着今天搬完砖明天葛优躺的心态开开心心、快快乐乐的工作,没成想刚接到一通电话,电话的那边传来周六需要加班的噩耗,直接打破了周六的葛优躺计划,我周六加班的悲剧故事就此展...
09月28日49 views评论信息收集
挖矿病毒
103