首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    linux应急响应

    客户名称:Linux应急响应报告时间:2024年-07月-25日报告类型: 分析报告 分析报告**攻击时段:**2024年07月25日15时30分**攻击影响:** 2024年07月25日15时30分,...监控到某客户的IP地址为:192.168.239.130的机器异常启动**分析过程:**查看命令是否存在异常,然后发现存在.sh文件有异常查看hide.sh文件的些异常脚本文件,发现到有存在的异常守护进程路径去检查动态库的劫持是否有异常...拿到暂停的恶意进程的PID,使用lsof命令去找到恶意进程的路径,发现到恶意进程的文件路径删除恶意进程的文件时发现没有权限去删除恶意文件,分别去查看恶意文件和目录的同时有权限需要去取消给chattr命令进行个权限提升...,并且使用此命令去取消恶意文件的权限,会发现还是删除不了恶意文件,那么说明恶意文件的目录也存在个权限把恶意文件的目录去掉权限,进行删除恶意文件恶意文件删除之后,去查看计划任务里面有没有任何异常,发现计划任务里面存在两个恶意守护进程的计划任务...防止恶意进程再次生成溯源查看登录日志,发现无记录,无法溯源分析结论:经过上述的分析,我们判定该服务器被挖掘恶意进程入侵,并且存在守护进程,会不断的产生恶意进程,并且导致CPU占用率飙高加固建议:1.更新补丁2.实施强密码的策略,确保些所有用户都要使用复杂且是唯的密码

    8710

    聊聊应急响应

    “俗话说:好记性不如烂笔头,最近做了几个应急响应就来总结下。”     ...应急响应分为四个阶段:前期沟通,事件处理,事件分析,报告交付,前期沟通主要是和客户交流事件情况,了解是什么安全事件,客户是否做了处理,如果做了处理,做了那些处理。...沟通贯穿整个应急响应流程,也是最重要的,切记不要上来就查,了解事件原因才会事半功倍。...推荐几款工具 (1)360全家桶 (2)Autoruns (3)D盾webshell查杀 (4)D盾防火墙 (5)火绒剑 0x04 总结    从前期的沟通确认,到异常发现与追踪,最后刻画攻击行为,应急响应不仅仅是场事件的处理...,我觉得更重要的是攻击者的攻击思路,他在这个系统里做了什么,他为什么要这么做,他这么做得到了什么,换作是你,你发现了这个漏洞,你会怎么做,向高手学习,才能成长更快,总而言之,应急响应,任重道远。

    1.1K00

    windows应急响应

    Windows的应急 学习过程中看到师傅文章,所以顺便做了个思维导图 师傅太强了 原文链接已放文末。 常见的应急响应事件分类。...检查方法: 打开注册表:查看对应键值 第步:Win+R打开运行窗口,输入regedit打开注册表编辑器 第二步:选择 HKEY_LOCAL_MACHINE/SAM/SAM,默认无法查看 第三步...:右击SAM,权限,选择当前用户(般是Administrator),将权限勾选为完全控制,然后确定并且关闭注册表 第四步:选择 HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account...查看Windows服务所对应的端口: %system%/system32/drivers/etc/services (般%system%就是C:\Windows) Tips:当我们通过第3步确定落地文件之后...1.3 检查启动项、计划任务、服务 1、检查服务器是否有异常的启动项 登录服务器,单机【开始】-> 【所有程序】->【启动】,默认情况下此目录是个空目录,确认是否有非业务程序在该目录下

    1K30

    Windows应急响应

    web入侵:Webshell,网页挂马,主页篡改系统入侵:病毒木马,远控后门,勒索软件网络攻击:ARP欺骗,DDOS攻击,DNS劫持针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了些...关于这个异常,我们也区分几方面,有的是基于数据流量问题,有的是基于在主机上面出现了些问题,那么每个问题出现就是对应的个安全事件。...但是,在次被入侵成功的安全事件,我们肯定需要系列分析溯源,尽可能把整个事件还原,还需要出个应急响应报告的。...入侵排查思路 检查系统账号安全 检查异常端口、进程 检查启动项、计划任务、服务 检查系统相关信息 杀软查杀 日志分析 处置流程: 准备阶段:获取整个事件的信息(比如发生时间,出现啥异常等),准备应急响应相关工具...,业务恢复 总结阶段:完整应急响应事件报告编写 挖矿 随着虚拟货币越来越火,挖矿病毒已经成为不法分子利用最为频繁的攻击方式之

    1.9K21

    应急响应Q&A

    什么是应急响应?问:什么是应急响应?...答:应急响应是指在网络安全事件(如数据泄露、恶意软件感染、网络攻击等)发生后,组织采取的系列快速反应措施,以最小化事件的影响、恢复正常业务运作、并防止类似事件再次发生的过程。...应急响应的基本流程是什么?问:应急响应的基本流程是什么?答:应急响应的基本流程通常包括以下几个步骤:准备:制定应急响应计划,组建应急响应团队,进行培训和演练。...遏制:采取措施遏制事件的扩散,防止进步的损害。根除:彻底清除事件的根源,修复受影响的系统和网络。恢复:恢复正常业务运作,确保系统和网络的安全性。...改进应急响应计划:根据总结的经验教训,改进应急响应计划,更新流程和策略。培训和演练:对应急响应团队进行培训和演练,提高团队的应急响应能力和协作水平。

    26510

    Linux应急响应笔记

    背景 前段时间我处理了应急响应,我还输出了篇文章 Linux应急响应笔记。...这两天又处理了次病毒入侵,在前次的基础上,这次应急做了些自动化脚本,应急响应效率有了定程度的提升,故另做份笔记。...PS:本文重在分享应急响应经验,文中保留了恶意网址,但是删除了恶意脚本及程序的下载路径。本文仅用于技术讨论与分析,严禁用于任何非法用途,违者后果自负。...应急操作笔记 查看我上次 Linux应急响应笔记,我发现罗列这么多命令,很多时候眼花缭乱,操作起来也不方便,不如写个shell脚本自动化收集信息。...tar -zcvf GatherInfo.tar.gz GatherInfo 信息收集结果分析 查看自动化收集的信息GatherInfo下的所有文件内容,根据下面的Checklist表项进行挨个梳理排查 应急响应检查表

    3.3K51

    分享应急响应简述

    、背景 几周前接到某单位管理人员电话,说“您好,我单位某系统受到攻击,现系统已瘫痪(想到系统已瘫痪,心理特别慌张,要写溯源报告了),应用无法使用,需到现场进行排查”,随后简单问了下网络情况,就匆匆赶往客户现场...原本想先进入系统看看情况,确认下问题,可是有其他厂家的人员在看,也不好意思,就等着看他操作,等就等了1个小时。...这期间他主要操作还是在看系统安全日志,日志查看直追溯到事发前1周时间,在日志的查看中并没有发现问题,如果是我在操作我也会先查看下日志。...为了看的更清楚,我使用了netstat -ano | more命令,然后页的翻,发现单位内部与该应用系统有通信IP的40000或50000以上的端口均处于TIME_WAIT状态。...三、总结 通过这次应急,我认为管理人员有时提供的信息与应急人员所需求的可能不同,很可能会误导应急人员。作为应急人员,应该有很强的逻辑能力和分析能力,另外还需要拥有自信。 新手上路,大佬勿喷,感谢。

    76110

    应急响应篇——开篇

    Hvv前的新坑,送给各位想要鸣惊人的蓝队小师傅们。 这篇只是个开篇,不会很长,主要先做个引子,大致聊聊思路和方法。 先把必查项给大家列列,这些是up主的些经验,如有错漏欢迎大家补充。...应急响应必查项: 1.日志(各种日志,访问日志、中间件日志、数据库日志、系统日志、运行日志、安全日志等等等等) 2.计划任务(老生常谈) 3.注册表(推荐用工具吧,手工排查冗长且效率低下) 4.端口(查正在占用的异常端口...) 5.进程(也是老生常谈,up会单独写篇关于进程排查的,把白进程和可疑进程都给大家列出来) 6.历史命令(主要针对linux,有时候个cd都能暴露很多信息,所以最好设置自动备份history) 7...正常来说能给你打进去的无非就是中马、rce、sql注入等几种手段,而未能在攻击实施阶段就发现并阻断攻击,需要应急响应,说明大概率已经中了大马了,产生了反连流量了,这步最最主要的事情就是把马子找出来,也就是进行定位...三、主机排查 这里就是大家熟知的些操作了,各种排查,请参考上面的的应急响应排查项,不单独赘述。

    14510

    Linux应急响应笔记

    背景 客户的监控系统发现有异常行为,我临时顶替应急的同事处理下。...,新增了个命令seed,这样就能解释为什么[atd]能开机启动了,然而并没有找到xmp的开机启动项,xmp也不会随着服务器重启自启动 看[atd]的进程名,猜测这是个执行定时任务进程,这个进程监听udp...应急响应流程 言归正传,应急响应的标准流程应该如何?...Lessons learned总结反思事件,方面从源头上减小安全事件的发现,另方面提升应急响应的效率。 上面的应急响应还是非常片面的,我搜罗了系列网友分享的应急响应经验,整理成章方便以后查阅。...我把应急响应流程分为三个部分,分别是 【1】入侵现场,【2】攻击维持,【3】入侵原因,下面我将从这三个方面展开 入侵现场 所谓入侵现场,是指服务器被怀疑中毒的现场环境,般来说,服务器被怀疑中毒都有异常现象

    1.2K30

    应急能力提升4】实战应急响应经验

    ''' 01 — 靶场环境分配 靶场搭建在VM虚机中,在红队完成攻击模拟后制作镜像快照,然后导出分发给每应急响应小组。...02 — 应急响应时间 每个专题分析周,各小组般都是在下班后及利用周末时间进行分析。整个应急过程,加上报告编写及汇报材料准备,平均每个专题花费十天。...03 — 应急响应流程 在真实场景中,应急响应的情况多种多样,比如遇到勒索病毒、挖矿程序、网页篡改、DDOS攻击、CC攻击等,对应的响应流程也会不同。...就本专题而言,两次攻击模拟均是由已知漏洞引发,最终目标被植入挖矿程序,故应急响应流程也致,可归纳为如下: 3.1 概况沟通 在上机动手操作前,有两个事项需要完成。...这种场景般是乙方安全公司做应急响应服务时的常规操作,降低了应急难度,提升效率。

    2.1K20

    说说Windows安全应急响应

    在互联网高速发展的时代,我们应该如何保护个人信息不被窃取、不被不法分子当作利益的筹码,当我们遇到入侵事件的时候,我们应该怎么办,第步怎么办,怎么推进排查过程、是否有应急预案等,这都是我们需要了解的。...在护网期间,客户遇到入侵事件,或许谈不上入侵,只是流量探测下,客户第反应就是拔网线、关闭端口、IP加入黑名单等常规操作。说实话这只能解决时,解决不了世。...说了这么多下面小白浅谈应急响应,我们看下windows应急处理。...Windows安全应急处置 攻击者入侵个网站必然会对企业的业务系统造成不同程度的损害,即使入侵不成功,也会使业务系统访问缓慢,即使在网络良好的情况下。...虽然在这里说这些貌似没用,但是这也是个排查的思路,毕竟多个思路就多个排查方向。

    2.7K20

    应急响应之入侵排查

    、前言 常见的应急响应事件分类: Web入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门 网络攻击:DDOS攻击、DNS劫持、ARP欺骗 二、Windows入侵排查...检查系统账号安全 查看服务器是否有弱口令,远程管理端口3389,22等端口是否对公网开放 检查方法:问服务器管理员,简单直接要么简单扫描测试下也可以 ?...检查启动项、计划任务、服务 检查服务器是否有异常的启动项 火绒等安全软件查看 Win+R->regedit,打开注册表,查看开机启动项是否正常,特别注意下三个注册表项 HKEY_CURRENT_USER...文件MD5校验 绝大部分软件,我们下载时都会有MD5文件,这个文件就是软件开发者通过md5算法计算出该如软件的“特征值”,下载下来后,我们可以对比md5的值,如果样则表明这个软件是安全的,如果不样则反之...Linux中有个命令:md5sum可以查看文件的md5值,同理,Windows也有命令或者工具可以查看文件的md5值 ?

    1.1K31

    【实战】记次linux应急响应

    原文链接:奇安信攻防社区 https://forum.butian.net/share/3015 挖矿事件 说明:百度的应急文章很多,在此不在介绍如何按照手册进行排查,只针对实战进行分析和排查。...在微步进行进步核实 确认为恶意远控文件,然后进行查杀进程和查杀文件,发现无法直接查杀,查杀进程后会立即重启该服务进程,且会直存在。这个时候就有点小麻烦了。不是正常的操作,且隐藏的守护进程不好找。...其他进程都是在用户登录或运行程序时创建,在运行结束或用户注销时终止,但系统服务进程(守护进程)不受用户登录注销的影响,它们直在运行着。这种进程有个名称叫守护进程(Daemon)。...下面我们继续寻找守护进程 进步排查,计划任务没有 排查运行的服务中发现所有者为1001的还有处服务指向crun.service文件,时间为2022年,比较可疑。...应急响应结束。 修复建议: 1、定期查杀服务器中可疑的文件 2、禁止在服务器中搭建服务对外映射到公网 3、禁止上传未知文件到服务器中 4、定期查看管理器运行情况,及时发现问题及时处理

    26910

    Window应急响应):FTP暴力破解

    0x01 应急场景 从昨天开始,网站响应速度变得缓慢,网站服务器登录上去非常卡,重启服务器就能保证段时间的正常访问,网站响应状态时而飞快时而缓慢,多数时间是缓慢的。...进步使用Log Parser对日志提取数据分析,发现攻击者使用了大量的用户名进行爆破,例如用户名:fxxx,共计进行了17826次口令尝试,攻击者基于“fxxx”这样个域名信息,构造了系列的用户名字典进行有针对性进行爆破...,据我所知只有当从个使用Advapi的ASP脚本登录或者个用户使用基本验证方式登录IIS才会是这种登录类型。...另外,通过查看FTP站点,发现只有个测试文件,与站点目录并不在同个目录下面,进步验证了FTP暴力破解并未成功。 ?...应急处理:1、关闭外网FTP端口映射 2、删除本地服务器FTP测试服务 0x03 预防处理措施 FTP暴力破解依然十分普遍,如何保护服务器不受暴力破解攻击,总结了几种措施: 1、禁止使用

    1.1K30

    【实战】记次挖矿应急响应

    文章首发与:奇安信攻防社区 https://forum.butian.net/share/2126 前言 在个阳光明媚的下午和群里的兄弟在吹牛,然后甲方爸爸突然发了张截图~ 分析与处置 1.立马通知现场的同事先对服务器进行断网...Shell.Users") Set z=o.create("nanshou") z.changePassword "nanshoul","" z.setting("AccountType")=3 该脚本为每分钟添加个账号密码为...使用“Msxml2.XMLHTTP”对象的“打开”和“发送”方法向指定的 URL 发送 GET 请求,请求down.b591.com:8888/kill.html尝试下载文件,并将响应文本保存到变量中。...将响应文本拆分为个数组并循环遍历每个元素。对于每个元素,它再次将其分成两部分:进程名称和文件路径。...建议加强安全管理,建立网络安全应急处置机制,完善系统日志审核策略、存储容量及存储方式,配合安全设备做好监测措施,及时发现攻击风险,及时处理。

    99160

    Linux应急响应):SSH暴力破解

    SSH口令长度太短或者复杂度不够,如仅包含数字,或仅包含字母等,容易被攻击者破解,旦被攻击者获取,可用来直接登录系统,控制服务器所有权限。...0x01 应急场景 某天,网站管理员登录服务器进行巡检时,发现端口连接里存在两条可疑的连接记录,如下图: ?...在这里,SSH(22)端口,两条外网IP的SYN_RECV状态连接,直觉告诉了管理员,这里定有什么异常。...localhost ~]# grep -o "Failed password" /var/log/secure|uniq -c 126254 Failed password 2、输出登录爆破的第行和最后行...Bypass About Me 个网络安全爱好者,对技术有着偏执狂样的追求。致力于分享原创高质量干货,包括但不限于:渗透测试、WAF绕过、代码审计、安全运维。

    2.1K20
    领券