案例一:网站首页图片被篡改攻击者入侵成功后可能会对网站进行篡改,比如上传黑页、博彩页面、webshell 等。从攻击者的心理分析,往往攻击者会是这些黑页、博彩页面或者 webshell 的首次访问者。...
一次真实的应急响应案例(Win2008)——暴力破解、留隐藏账户与shift粘贴键后门、植入挖矿程序——事件复现(含靶场环境)
一、事件背景某天客户反馈:服务器疑似被入侵,风扇噪声很大。(真实案例自己搭建环境复现一下,靶场环境放在了 知识星球 和 我的资源 中)受害服务器: Windows2008 系统、IP: 192.168...
一次真实的应急响应案例(Ubuntu)——暴力破解、写入ssh公钥留后门、植入GPU挖矿程序——事件复现(含靶场环境)
一、事件背景某天客户反馈:实验室因耗电量太大经常跳闸,服务器疑似被挖矿。(真实案例自己搭建环境复现一下,靶场环境放在了 知识星球 和 我的资源 中)受害服务器: Ubuntu系统、IP: 192.16...
应急响应案例2-Windows Rootkit系列之紫狐病毒(驱动隐藏)
1. 概述一般情况下,常规的如恶意dll注入到svchost.exe进程以后,若没有持久化的话我们直接重启svchost.exe即可清除相关的恶意dll;若存在持久化的话,一般情况下是通过注册表、服务...
记一个真实的应急响应案例(5)kswapd0恶意程序事件
技术交流可以关注公众号 OneMoreThink 或后台添加微信,欢迎提出宝贵建议。目录恶意程序排查文件排查告警文件排查时间文件排查敏感目录排查特权文件排查网络排查进程排查网络进程排查所有进程排查隐藏...
记一个真实的应急响应案例(4)algo挖矿病毒事件
技术交流可以关注公众号 OneMoreThink 或后台添加微信,欢迎提出宝贵建议。目录恶意程序排查文件排查告警文件排查时间文件排查敏感目录排查特权文件排查网络排查进程排查网络进程排查所有进程排查隐藏...
记一个真实的应急响应案例(2)挖矿病毒事件
登录服务器时,发现密码错误,无法登录。打算登录云管平台重置密码,不小心看到安全告警,原来是中了挖矿病毒。挖矿病毒的侵入性还是蛮大的,一般都会终止掉CPU占用超过20%的进程,以免计算资源不够挖矿,这常...
一次真实的应急响应案例(Linux)——SSH暴力破解+crontab隐藏后门——事件复现(含靶场环境)
一、SSH协议介绍SSH(Secure Shell)是一套协议标准,可以用来实现两台机器之间的安全登录以及安全的数据传送,其保证数据安全的原理是非对称加密。SSH 是目前较可靠,专为远程登录会话和其他...
一次真实的应急响应案例——篡改页面、挖矿(sysupdate、networkservice)(含靶场环境)
一、事件描述:某公司运维人员小李近期发现,通过搜索引擎访问该公司网站会自动跳转到恶意网站(博彩网站),但是直接输入域名访问该公司网站,则不会出现跳转问题,而且服务器CPU的使用率异常高,运维人员认为该...