文章源自【字节脉搏社区】-字节脉搏实验室 作者-m9kj 概述: Log Parser(微软网站下载)是微软公司出品的日志分析工具,它功能强大,使用简单,可以分析基于文本的日志文件、XML 文件、CSV...它可以像使用 SQL 语句一样查询分析这些数据,甚至可以把分析结果以各种图表的形式展现出来。 常见事件ID: ?...Logon Type 4 – Batch 计划任务 Logon Type 5 – Service 服务。...某些服务用一个域账号来运行的,出现Failure常见的情况是管理员跟换了域密码但是忘了更改service的密码。 Logon Type 7 – Unlock 解除屏幕锁定。...使用方式: 首先打开eventvwr.msc将所有事件保存到本地,然后打开logparser,输入指令:LogParser.exe -i:EVT -o:DATAGRID "SELECT * FROM 日志路径
创建服务 直接选择默认的 XblGameSave 服务,这个服务为 Xbox Live 可保存游戏同步保存数据。...XblGameSave" 可以看到,常规检查的时候,无法直接看到 XblGameSave 通过 sc query 指定名称查找显示的是 拒绝访问 通过 sc qc 指定名称查找能够显示出正常内容 如果常规方式看不到,应急响应人员也无法知晓该活动的名称...可以先取消注册表权限 方法二 高权限查看法 这种隐藏方式无非就是谁可以看,谁不可以看,在 Linux 中,几乎所有的限制对 root 都没用,我们分析一下刚才的权限设置 这里似乎对 SYSTEM 并没有限制,那我们使用...创建木马 这次使用 msf 生成一个服务木马来模拟服务 msfvenom -p windows/meterpreter/bind_tcp lport=4455 -f exe-service -o bind.exe...0x10 思考排查方法 一般攻击者使用服务都是做持久化控制的,删掉注册表来对抗隐藏不是常规的思路,但是毕竟大家面对的也不是一群常规的人,如果真的是出现了这种奇葩,该如何进行检测呢?
基本介绍 小李在值守的过程中发现有CPU占用飙升,出于胆子小就立刻将服务器关机,这是他的服务器统,请你找出以下内容并作为通关条件: 攻击者的shell密码 攻击者的IP地址 攻击者的隐藏账户名称 攻击者挖矿程序的矿池域名...环境构建 下载靶机并使用VMware Workstation打开: 账号密码: 用户:administrator 密码:Zgsf@admin.com 靶场题目 运行桌面的"解题"程序后会出现如下界面:...既然有一个隐藏账号,那么我们不妨进入这个隐藏账号的文件夹(C:\Users\hack168$)看看有没有什么东西,随后发现在桌面存在可疑的exe程序 : 图标为pyinstaller打包,所以我们这里使用...://tool.lu/pyc/)得到源码,从下面我们可以得到矿池的地址——http://wakuang.zhigongshanfang.top 文末小结 本篇文章通过这一个应急靶机我们学到的知识主要有通过...D盾查杀webshell,随后对影子账号的恶意操作进行排查以及如何将python编译成的EXE程序反编译为Python源代码程序并从中获取关键的信息~
使用 Out-GridView,但如果需要,您可以使用 -raw 并导出到 csv/xls。也有原始搜索功能。
客户名称:Linux应急响应报告时间:2024年-07月-25日报告类型: 分析报告 分析报告**攻击时段:**2024年07月25日15时30分**攻击影响:** 2024年07月25日15时30分,...发现有占用CPU的恶意进程暂停恶意进程的PID拿到暂停的恶意进程的PID,使用lsof命令去找到恶意进程的路径,发现到恶意进程的文件路径删除恶意进程的文件时发现没有权限去删除恶意文件,分别去查看恶意文件和目录的同时有权限需要去取消给...chattr命令进行一个权限提升,并且使用此命令去取消恶意文件的权限,会发现还是删除不了恶意文件,那么说明恶意文件的目录也存在一个权限把恶意文件的目录去掉权限,进行删除恶意文件恶意文件删除之后,去查看计划任务里面有没有任何异常...编辑恶意文件去除掉守护进程的路径过滤删除恶意进程的守护进程查看开机启动项是否有异常查看环境变量文件是否异常最终停止恶意进程,防止恶意进程再次生成溯源查看登录日志,发现无记录,无法溯源分析结论:经过上述的分析,我们判定该服务器被挖掘恶意进程入侵...,并且存在守护进程,会不断的产生恶意进程,并且导致CPU占用率飙高加固建议:1.更新补丁2.实施强密码的策略,确保一些所有用户都要使用复杂且是唯一的密码3.定期检查计划任务和配置计划任务
25日10点25分,用户反馈出现失陷主机异常,2024年7月26日10点30分,用户反馈蛀虫占用CPU过高,运行异常分析步骤在任务管理器发现CPU占用内存过高的进程,进程软件是pythow.exe接着使用...PowerTool工具查看进程管理的进程路径的脚本,进程路径是C:\sys\bin\miner.py在资源监听器找到进程的PID使用pssuspend64使用cmd中进行暂停恶意进程查看计划任务,发现没有任何异常的操作行为查看启动项
如何证明恶意的宏被启用和点击了?
web入侵:Webshell,网页挂马,主页篡改系统入侵:病毒木马,远控后门,勒索软件网络攻击:ARP欺骗,DDOS攻击,DNS劫持针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些...但是,在一次被入侵成功的安全事件,我们肯定需要一系列分析溯源,尽可能把整个事件还原,还需要出个应急响应报告的。...入侵排查思路 检查系统账号安全 检查异常端口、进程 检查启动项、计划任务、服务 检查系统相关信息 杀软查杀 日志分析 处置流程: 准备阶段:获取整个事件的信息(比如发生时间,出现啥异常等),准备应急响应相关工具...可进行断网,防火墙策略隔离,关键数据备份,数据恢复 检测阶段:技术分析 取证阶段:确定攻击事件,确定攻击时间,确定攻击过程,确认攻击对象 处置阶段:提出安全问题,提出解决方案,业务恢复 总结阶段:完整应急响应事件报告编写...病毒传播者可以利用个人电脑或服务器进行挖矿,具体现象为电脑CPU占用率高,C盘可使用空间骤降,电脑温度升高,风扇噪声增大等问题。
“俗话说:好记性不如烂笔头,最近做了几个应急响应就来总结下。” ...应急响应分为四个阶段:前期沟通,事件处理,事件分析,报告交付,前期沟通主要是和客户交流事件情况,了解是什么安全事件,客户是否做了处理,如果做了处理,做了那些处理。...服务器恢复正常后,进行事件分析,通过排查日志还原攻击者的入侵轨迹,最后一步就是整理报告。 沟通贯穿整个应急响应流程,也是最重要的,切记不要一上来就查,了解事件原因才会事半功倍。...(1)web攻击事件 例如网站存在注入、上传、或者RCE,首先给服务器加waf,阻断大部分攻击源,提升攻击成本,如果客户使用CMS建站,那么一定要按官方修复建议修复。...0x02 Linux 排查思路 1.用户,查系统是否存在异常用户 cat /etc/passwd 2.进程,查看是否存在异常进程,名字特别,CPU使用率高 top ps aux 3.网络连接,查看服务器当前是否有异常连接
Windows的应急 学习过程中看到师傅文章,所以顺便做了个思维导图 师傅太强了 原文链接已放文末。 常见的应急响应事件分类。...SAM/Domains/Account/Users; 第五步:在Names项下可以看到实例所有用户名 Tips:如果出现本地账户中没有的账户,即为隐藏账户,在确认为非系统用户的前提下,可删除此用户 使用...指定修改时间进行搜索 1.5 自动化查杀 1、病毒查杀 检查方法:下载安全软件,更新最新病毒库,进行全盘扫描 2、webshell查杀 检查方法:选择具体的站点路径进行webshell查杀,建议使用两款或者多款查杀工具同时查杀...eventvwr.msc,打开事件查看器 导出应用程序日志、安全日志、系统日志,利用Log Parser进行分析 2、web访问日志 找到中间件的web日志,打包到本地方便进行分析 Windows推荐使用...EmEditor进行日志分析;Linux推荐使用shell命令组合查询分析 常见日志存放路径 1、apache服务器 Windows : \logs\access.log
什么是应急响应?问:什么是应急响应?...如何收集应急响应和溯源所需的数据?问:如何收集应急响应和溯源所需的数据?...关闭受影响服务:关闭受影响的服务和应用,防止攻击者继续利用漏洞进行攻击。清除恶意软件:使用恶意软件清除工具,彻底清除系统中的恶意软件和感染文件。...如何进行事后分析和改进?问:如何进行事后分析和改进?答:事后分析和改进可以通过以下步骤进行:事件回顾:回顾整个应急响应过程,分析事件的发生、检测、响应和恢复情况。...定期评估和测试:定期评估和测试应急响应计划,确保计划的有效性和可行性。10. 如何保存和管理应急响应和溯源的证据?问:如何保存和管理应急响应和溯源的证据?
二、选择外包服务还是简历自己的网络安全应急响应团队?您必须做出的第一个决定是是否要拥有内部事件响应团队。...像 IBM 和亚马逊这样的大公司通常会使用自己的系统和服务,因为它们的系统和服务规模庞大,使得外包不切实际。...话虽这么说,了解团队成员、团队如何运作以及他们在危机中将如何应对仍然很重要。三、您的应急响应团队需要谁?当然,事件响应中最重要的部分是人员。这将涉及两个独立但相关的群体:1....六、如何建立成功的应急响应团队为应急响应团队选择合适的人员很重要,但过程并不止于此。确保团队中的每个人都了解自己的角色以及发生事件时如何应对也很重要。...正确的工具可以让您的响应更快、更灵敏、更有效。这就是为什么了解哪些工具可用以及如何最好地使用它是如此重要。 一般来说,常见的事件响应工具有以下三类:A.
应急响应流程 言归正传,应急响应的标准流程应该如何?...Lessons learned总结反思事件,一方面从源头上减小安全事件的发现,另一方面提升应急响应的效率。 上面的应急响应还是非常片面的,我搜罗了一系列网友分享的应急响应经验,整理成章方便以后查阅。...我把应急响应流程分为三个部分,分别是 【1】入侵现场,【2】攻击维持,【3】入侵原因,下面我将从这三个方面展开 入侵现场 所谓入侵现场,是指服务器被怀疑中毒的现场环境,一般来说,服务器被怀疑中毒都有异常现象...入侵原因 弱密码/默认密码 首先通过netstat查看对外开放的服务,确认这些服务(比如mysql,redis,zookeeper,tomcat等)是否有配置认证,认证使用的是否为弱密码或者默认密码。...系统加固 修改各个对我开放的服务密码 限制对外开放的服务,如果不方便操作,则通过iptables限制可访问的主机 升级系统组件或者服务使用到的中间件
背景 前一段时间我处理了一次应急响应,我还输出了一篇文章 Linux应急响应笔记。...这两天又处理了一次病毒入侵,在前一次的基础上,这次应急做了一些自动化脚本,应急响应效率有了一定程度的提升,故另做一份笔记。...PS:本文重在分享应急响应经验,文中保留了恶意网址,但是删除了恶意脚本及程序的下载路径。本文仅用于技术讨论与分析,严禁用于任何非法用途,违者后果自负。...应急操作笔记 查看我上一次 Linux应急响应笔记,我发现罗列这么多命令,很多时候眼花缭乱,操作起来也不方便,不如写个shell脚本自动化收集信息。...无论如何,还是尽量保证系统安全性,减小系统入侵攻击面,这样可以极大保护系统不被入侵。
应急响应必查项: 1.日志(各种日志,访问日志、中间件日志、数据库日志、系统日志、运行日志、安全日志等等等等) 2.计划任务(老生常谈) 3.注册表(推荐用工具吧,手工排查冗长且效率低下) 4.端口(查正在占用的异常端口...取决于客户系统的重要性,是否支持隔离,业务中断是否产生极大影响,和客户商量后视情况而定,毕竟不是每一台服务器都可以说拔网线就拔网线。...,linux的话看看有没有edr,有的话也可以在服务器端进行远程杀毒隔离开,这一步是隔离就不扯这么多了。 二、定位攻击?...正常来说能给你打进去的无非就是中马、rce、sql注入等几种手段,而未能在攻击实施阶段就发现并阻断攻击,需要应急响应,说明大概率已经中了大马了,产生了反连流量了,这一步最最主要的事情就是把马子找出来,也就是进行定位...三、主机排查 这里就是大家熟知的一些操作了,各种排查,请参考上面的的应急响应排查项,不单独赘述。
通过PowerShell命令查找进程加载了DLL: ps | ? { $_.Modules.ModuleName -contains 'amsi.dll' } ...
03 — 应急响应流程 在真实场景中,应急响应的情况多种多样,比如遇到勒索病毒、挖矿程序、网页篡改、DDOS攻击、CC攻击等,对应的响应流程也会不同。...这种场景一般是乙方安全公司做应急响应服务时的常规操作,降低了应急难度,提升效率。...然而在本专题中,考量或锻炼的就是这些自动化的能力变为手工化,应急同学不能使用现成的自动化工具,只能自己写或使用功能单一的开源工具; 从业务异常现象反向分析法:业务系统所在服务器的CPU使用率非常高,...此外攻击队还在第二次课题模拟中,留下一个彩蛋:在windows桌面上,留下一张名为hackyourown.jpg的图片(实则利用exiftool rce漏洞植入了后门),等待应急响应同学使用exiftool...看了各组应急响应报告中的修复建议,思路比较固定,基本都分为技术和管理方面。
在互联网高速发展的时代,我们应该如何保护个人信息不被窃取、不被不法分子当作利益的筹码,当我们遇到入侵事件的时候,我们应该怎么办,第一步怎么办,怎么推进排查过程、是否有应急预案等,这都是我们需要了解的。...说了这么多下面小白浅谈一下应急响应,我们看一下windows应急处理。...Windows安全应急处置 攻击者入侵一个网站必然会对企业的业务系统造成不同程度的损害,即使入侵不成功,也会使业务系统访问缓慢,即使在网络良好的情况下。...这里推荐使用 Log Parser工具进行分析,个人觉得比较方便。...服务 我们以MSF权限维持中的Metsvc 模块,只要攻击者使用这个模块的后门,在服务中就会自动生成meterpreter这个服务,类型为自动启动。
一、前言 常见的应急响应事件分类: Web入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门 网络攻击:DDOS攻击、DNS劫持、ARP欺骗 二、Windows入侵排查...检查系统账号安全 查看服务器是否有弱口令,远程管理端口3389,22等端口是否对公网开放 检查方法:问服务器管理员,简单直接要么简单扫描测试一下也可以 ?...查看服务器是否存在可疑账号、新增账号 Win+R->lusrmgr.msc ? 查看服务器是否存在隐藏账号、克隆账号 使用D盾或者其他小工具都可以查看隐藏账号 ? ?...D盾,查看可以进程,查看有没有签名信息或者可以使用Process Explorer等工具查看 ?...https://github.com/he1m4n6a/findWebshell 在线Webshell查杀工具 http://tools.bugscaner.com/killwebshell 五、如何发现隐藏的
REvil 使用随机文件名将图像保存到主机的 %Temp% 目录中,该文件名由长度为 3 到 13 个字符的小写字母和数字组成,并附加“ .bmp ”扩展名(例如,C:\Users\ \AppData...通读 SecureWorks 文章,赎金票据指示受害者使用唯一的 URL来解密他们的文件。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
腾讯会议
云直播
对象存储
