原文始发于微信公众号(安全架构):通用型漏洞的应急响应
01月04日160 views评论原文
应急响应
【应急响应】黑客入侵应急响应分析手工排查
Author: sm0nk@猎户攻防实验室 行文仓促,不足之处,还望大牛指正。 1 事件分类 常见的安全事件: 1.Web入侵:挂马、篡改、Webshell 2.系统入侵:系统异常、RDP爆破、SSH...
01月04日285 views评论alt
ls
记一次门罗币挖矿病毒处置
背景:某客户被政务服务中心通报中了挖矿病毒,要求进行处置现场处置:1,发现通报的是一台CENTOS系统的服务器,发现有大量占用CPU资源的进程kheiper,看到这个进行直接就知道是门罗币的挖矿了,2...
01月03日49 views评论virustotal
挖矿病毒
应急响应 | 企业安全开发生命周期(SDL)实践
前言 应急响应并不仅仅是对被黑的机器进行检查是否中了botnet病毒、是否被rootkit或者是否被挂了webshell等操作。实际上,它涉及到的技术含量非常高,包括如何定位问题、如何修复漏洞以及如何...
12月30日67 views评论企业
应急响应
干货|基于被钓鱼主机的快速应急响应
免责声明由于传播、利用本公众号亿人安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号亿人安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即...
12月28日43 views评论应急响应
计划任务
恶意域名的dns查询响应
一、起因(一)告警信息某天,某APT平台检测发现,内网DNS服务器的53端口,多次向某IP地址(IP1)发送恶意域名(ilo.brenz.pl)的dns解析响应。经查,IP1不是内网主机的IP地址,而...
12月25日131 views评论dns解析
tcpdump
流量劫持网络安全应急响应
流量劫持在网络安全事件中比较常见,它是一种通过在应用系统中植入恶意代码、在网络中部署恶意设备、使用恶意软件等手段,控制客户端与服务端之间的流量通信、篡改流量数据或改变流量走向,造成非预期行为的网络攻击...
12月25日72 views评论dns服务器
网络安全应急响应
应急响应中的文件时间:mtime、atime、ctime
文件时间的区别?01Modify:最后一次修改文件内容的时间Access:最后一次访问文件内容的时间Change:最后一次文件属性变化的时间modify修改和change变化的区别是,修改侧重人为修改...
12月23日46 views评论ls
时间
学习干货|详解一次简单的综合应急响应学习思路
0x01 前言 本次把前面练习的应急响应作为基础,相当于期末复习,做一个简单的模拟,主要是学习思路,靶机原型为vulnhub-evil,其中做了部分改动,以蓝方视角呈现,只作为总结、较为简单、缕清思路...
12月23日75 views评论应急响应
靶机
加快网络安全事件响应速度的6个步骤
尽管现代安全工具在不断提升对组织网络和端点的保护效能,但攻击者总能找到一些新的途径来进行入侵。 确保安全团队能够迅速应对威胁、并有效地恢复正常运营至关重要。因此,这些团队不仅需要配备适当的工具,还必须...
12月22日122 views评论安全事件
应急响应
netcat与高危命令告警研判
一、起因(一)告警信息某主机安全系统,多次检测到与netcat相关的所谓高危命令,如:nc -zv 内网IP1 端口1nc -nzv 内网IP2 端口2nv -6l 8888(二)问题的提出netca...
12月19日48 views评论端口
端口扫描
记一次挖矿病毒的溯源
ps:因为项目保密的原因部分的截图是自己在本地的环境复现。 1. 起因 客户打电话过来说,公司web服务异常卡顿。起初以为是web服务缓存过多导致,重启几次无果后觉得可能是受到了攻击。起初以为是ddo...
12月16日38 views评论ids
挖矿病毒
97