记一次网络安全应急响应实战

最新推荐文章于 2024-08-08 17:15:40 发布
最新推荐文章于 2024-08-08 17:15:40 发布
阅读量707 收藏 3
点赞数 5
分类专栏: 网络安全应急响应 web安全 文章标签: web安全 服务器 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Elite__zhb/article/details/129895129
版权

目录

一、问题发现

二、问题检测

三、登陆服务器排查

清理病毒:

查询病毒类型:

查询病毒位置:

删除病毒文件:

结束病毒进程:

病毒复发再次清理:

总结:

一、问题发现

某天晚上,日常巡视博客的运行状态时,发现博客无法访问,显示数据库连接失败,如图

 第一反应,应该是面板的MySQL出了问题,于是登陆面板检查

二、问题检测

登陆面板后,发现MySQL停止服务,于是尝试打开,但是打开后发现又马上停止运行

然后又发现CPU占用率达到100%

由CPU使用率统计图可知,该服务器从3.26日就已经CPU占用率达到100%,并已持续多日,于是登陆服务器查看服务器CPU进程

三、登陆服务器排查

这里使用ssh登陆

登录后使用 top 指令查看CPU进程

 发现一个名为  xmrig 的程序占用了CPU 100%的进程

清理病毒:

查询病毒类型:

经查询

xmrig是一种挖矿病毒,通常会抢占服务器的资源,导致服务器超负荷运转,出现服务宕机的情况

 该病毒在github即可下载

查询病毒位置:

使用指令:

find / -name xmrig

删除病毒文件:

rm -rf /tmp/xmrig

结束病毒进程:

kill -9 2392

病毒复发再次清理:

本以为已经彻底清除病毒,没想到过了不到半小时病毒又起来了,初步判断应该是病毒还留有系统定时任务

使用以下指令

crontab -r

过了一夜,病毒没有复发,清理成功

总结:

搭建网站尽量选择宝塔,并搭配防火墙及蜜罐,不要用小皮,公益面板漏洞太多,博主在此次之后将面板果断换成了宝塔

Elitewa
关注
专栏目录
一次linux服务器入侵应急响应(小结)
09-14
主要介绍了一次linux服务器入侵应急响应,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
网络安全应急响应实践合集.zip
09-03
网络安全应急响应实践合集,共32份。 2019年全球互联网安全态势报告; 2020年网络安全应急响应分析报告; 安全服务与应急响应安全事件管理自动化之路; 从检测到响应-机器学习的应用演变; 从应急响应看医疗卫生...
一次应急响应
weixin_33725270的博客
07-21 214
事件描述本次安全事件,客户内部几台服务器DNS指向被改,上次检查情况表明,域控并未遭受入侵。通过客户反映,在7月11日网络防火墙当天流量异常,遂对存在流量异常的服务器进行检查分析 进程分析: 在检查我利用pchunter对192.168.96.136这台服务器的进程调用情况进行了详细分析,发现有黑客利用PowerShell连接外部网络下载木马文件并且已经运行木马文件。确定此台服务器已被入侵,如...
应急响应实战
最新发布
weixin_43263566的博客
08-08 143
导语 我在GitHub上看到了这大佬的笔。考虑到GitHub在某些地区访问速度慢或者无法打开的问题,我决定转载这些笔,以便更方便地获取。 原项目地址 GitHub 地址:https://github.com/Bypass007/Emergency-Response-Notes GitBook 地址:https://bypass007.github.io/Emergency-Response-Notes/ 项目介绍 面对各种各样的安全事件,我们该怎么处理? 这是一
一次服务器入侵事件的应急响应
小王的储物间
02-24 727
我们推测攻击者不止一个,并且都是通过SSH弱口令入侵服务器。事件时间线如下图所示:第一波攻击者可能是挖矿组织,在5月7日大概率利用SSH弱口令进入服务器上传挖矿程序somescript,且做了对应的维持手段。第二波攻击者可能是黑产组织,攻击时间为7月16日至7月17日,其操作是对网站做黑帽SEO,更改宝塔后台并上传大量后门。第三波攻击者应该只是想控制一批跳板机,在8月17日上传了代理程序,目前在服务器上出现的恶意事件最后截止也是到8月17日。
应急响应实战(续)
05-26 376
在上周,我发布了一个项目,我把它叫做应急响应实战,收集和汇总了一些我经手处理的应急响应案例。 GitHub 地址:https://github.com/Bypass007/Emergency-Response-Notes 这个项目,也收到了不少童鞋的反馈,其中有一位让我印象深刻,第一次收到如此认真的反馈: 我马上写了一份邮件回复:感谢你这么详细的阅读并指正了几个问题...
一次应急响应
weixin_67289581的博客
03-14 428
linux应急
应急响应工具集及应急响应实战.zip
08-04
网络安全应急响应工具集及应急响应实战 辅助工具集 进程分析工具集 练手样本集 流量分析工具集 启动项分析工具集 信息收集工具集 专杀工具集 Webshell查杀集 第01章:入侵排查篇 第02章:日志分析篇 第03章:...
常见网络安全事件应急响应指导手册.doc
04-29
网络安全应急响应的能力与方法 网络安全应急响应现场处置流程 常见网络安全事件应急响应技术操作指南等等
网络安全应急响应 (2).pdf
06-26
网络安全应急响应是一个动态的过程,它要求组织不断适应新的威胁环境,通过学习和改进来提升自身的防御能力。随着技术的发展,新的攻击手段不断涌现,网络安全应急响应体系需要持续更新和完善,以有效应对日益复杂的...
23-网络与信息安全应急响应技术规范与指南.pdf
06-23
23-网络与信息安全应急响应技术规范与指南.pdf23-网络与信息安全应急响应技术规范与指南.pdf23-网络与信息安全应急响应技术规范与指南.pdf23-网络与信息安全应急响应技术规范与指南.pdf23-网络与信息安全应急响应...
一次应急响应描述
Jeromeyoung
02-23 1324
1、什么是应急响应 即事件发生了后怎么去做 2、应急响应流程 简单概括: 准备阶段:需要快照(日志、服务端口等)、应急响应工具包、 启动(检测)阶段:讨论相关的阶段 抑制阶段:不重要的业务断网、隔离、中断服务、断开接连等操作 根除阶段:对控制的木马病毒进行删除 恢复阶段:像木马病毒进行的操作对其还原原来的状态 跟进阶段:对被入侵的机器进行监控,防止再次出现问题 3、主机入侵排查思路 Windows 一、检查系统账号安全 1、查看服务器是否有弱口令,远程管理端口是否对公网开放。 检查方法:据实际情况咨询
应急响应实战
itboy_szjj的博客
05-26 1383
应急响应网络安全
一套完整的应急响应实战
qq_22893055的博客
07-22 1412
DDOS侧重于使目标服务不可用,DNS劫持和ARP欺骗则侧重于控制通信过程。DDOS从流量层面影响服务,DNS劫持和ARP欺骗从协议层面影响通信。检测DDOS需要关注服务器资源使用,而DNS劫持和ARP欺骗需要检查网络协议状态。以上是对各种攻击的判断,当然,在很多应急情况下,可由一些人负责事件的判断,再分出一部分人做一些常规检查。Windows系统日志是录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。
一次真实的应急响应案例(1)
OneMoreThink
11-26 887
收到阿里云通知,服务器正在对外发起攻击,需要排查具体情况。恶意程序排查 一、网络排查使用netstat -tunlap命令,发现一万多个ID是 28263、名称是bdgopoga的可疑进程,疑似正在口令爆破。后续需要排查出运行该进程的恶意程序,然后终止恶意进程、备份并删除恶意程序。发现未知IP登录SSH服务的root账号,进程ID是28231。排查发现该未知IP开放80端口,访问发现是某企业的,因...
一次应急响应到溯源入侵者
qq_50854662的博客
10-06 590
文本转载于:https://www.freebuf.com/articles/web/289450.html 1. 前言今年的某月某日,系统监测到客户的一企业官网www.******.com遭到了网页篡改,经过人工确认将浏览器的UA替换为百度UA后访问网站,此时网站链接自动跳转至赌博类违规网站,当日上午随即受到客户的召唤,立刻赶往客户单位进行初步检查,并将相关日志文件及样本拷回做进一步分析。2. 事件分析因去到现场时index.php文件已经被网站管理员恢复了,但问题不大,还好这哥们留了个心眼备份
一次挖矿病毒应急响应事件
MachineGunJoe666
11-10 758
应急主机排查 近日,我们的安全技术人员安全检查过程中发现一组内网主机存在与外部互联网地址异常通讯行为,以下是对其中一台主机挖矿应急处置分析。 查看Windows任务管理器,发现该主机的CPU使用率为100%。结合实际业务情况初步判断该主机存在异常。 进一步查看使用率过高的进程,发现名称为v6w5m43T.exe可疑执行文件占用大量CPU使用率,并且powershell.exe进程被大量调用。 使用火绒剑对v6w5m43T.exe可疑可执行文件进行详细分析,可以看到该文件所在执行位置的绝对路径,并且存在与
Linux应急响应实战
zhangge3663的博客
01-29 300
接到个单子,网站被挂博彩 客户机器环境 服务器系统: CentOS 7 服务器管理面板: 宝塔 CMS: 织梦 CMS V57 SP2 过程 向客户了解情况后,登录了服务器进行检查,发现历史执行过的命令有些异常,系统账号被添加了admin,用户组为admin,向客户确认后为客户所执行,账号非客户所添加 网络检查 随后执行了netstat -anutlp对当前连接进行了检查,无异常,初步判定没有被留远控 SSH 检查 对SSH配置文件、SSH应用程序进行了...
一次DDoS攻击应急响应实战
Elite的博客
04-29 1301
一次正常巡视站点时,发现网站加载漫长,且到最后显示无响应,随后紧急查看该服务器下其他站点,情况均是如此于是快速登陆腾讯云服务器控制台,发现情况如下发现服务器遭到DDoS攻击
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Elitewa

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值