Fly_鹏程万里

查看表征异常系统卡慢、宕机、CPU和内存占用高、网络拥塞或断网、磁盘空余空间无理由大幅度缩小等，根据以上表征，可以初步猜测系统面临的问题。windows 下查看系统基本信息PS C:\Users\bobac\Desktop> systeminfowindows 下查看CPU和内存消耗根据下图可以进行倒序排列或者使用命令PS C:\Users\bo...

0x00 背景在应急响应中，经常碰到ps命令和top命令查不到恶意进程（异常进程）的情况，会对应急响应造成很大的影响。轻则浪费时间，重则排查不出问题，让黑客逍遥法外。所以这篇博客研究学习如何对抗linux进程隐藏的手段。0x01 用户态隐藏这是一类简单的隐藏方法，同时也是相对容易破解的方法。1、命令替换替换ps、top、ls等命令的文件，破解方法很简单，查看文件修改时间和HAS...

病毒事件介绍2019年2月21日 Linux下DDG变种挖矿病毒在全国范围内大规模爆发，默安科技应急响应中心经过对样本分析发现，该病毒变种通过Redis未授权访问漏洞进行突破植入，然后使用本地密钥登录.ssh/known_hosts文件中的服务器进行横向传播，造成大量服务器负载增高，无法正常提供业务。病毒执行的恶意脚本通过以下地址进行储存和更新：https://pastebin.com...

近日，深信服安全团队追踪到公有云上及外部Linux服务器存在大量被入侵，表现为/tmp临时目录存在watchdogs文件，出现了crontab任务异常、网络异常、系统文件被删除、CPU异常卡顿等情况，严重影响用户业务。多个用户邀请深信服安全专家远程排查，最终经过分析确认，用户Linux服务器被植入新型恶意挖矿蠕虫，且较难清理。深信服安全团队将其命名为WatchDogsMiner，并紧急发布预警，...

前言2018年5月，比特币勒索病毒 WannaCry 席卷全球，国内众多机构部门计算机系统瘫痪。根据之前应急响应的案例分析，以及一些安全报告统计，目前大部分的勒索病毒均利用未授权访问等通用漏洞进行植入、勒索，尤其是 Redis、MongoDB 等数据库的未授权访问漏洞尤其严重。参见《【脉搏译文系列】如何高效的应对勒索软件》0x01 介绍未授权访问可以理解为需要安全配置或权限认证的地址、...

背景春节刚过，黑产团队就开始了新的一年的工作。21日晚上九点多，正准备回家享受快乐时光呢，钉钉就响了，客户应急来了，8台机器感染挖矿木马病毒。挖矿病毒这两年也处理了不少了，但是这次的应急受益匪浅，值得记录一下。事件处理过程0x01 传播途径此次事件从网上收集了下，途径不止有被通报的Redis，Jenkins RCE 漏洞 Nexus RCE 漏洞 Redis未授权访问or弱...

0x00 漏洞背景近日thinkphp团队发布了版本更新https://blog.thinkphp.cn/869075，其中修复了一处getshell漏洞。影响范围：5.x < 5.1.31, <= 5.0.23 危害：远程代码执行0x01 Exploitbase64decode => :Lz9zPWluZGV4L1x0aGlua1xSZXF1ZXN0L...

涉及到的代码：https://paste.ubuntu.com/p/7kV7C6xfnk/' ===================================================' VBS遍历目录、遍历进程获取hash' 基于wscript.shell、certutil，理论上支持Windows xp+ 系统' Code by Rvn0xsy, <Mail:rv...

360安全大脑监测到通过”驱动人生”供应链攻击传播的挖矿木马在1月30日下午4时左右再次更新……0x00 事件背景360安全大脑监测到通过”驱动人生”供应链攻击传播的挖矿木马在1月30日下午4时左右再次更新。此次更新中，木马在此前抓取系统帐户密码的基础上增加了抓取密码hash值的功能，并试图通过pass the hash攻击进行横向渗透，使得该木马的传播能力进一步加强，即使是有高强度口令的...

Powershell获得未签名的进程路径，代码如下：$Process = Get-WmiObject Win32_Process | Select Pathforeach($p in $Process){ if($p.Path -ne $null){ $Signa = Get-AuthenticodeSignature $p.Path if($Signa...

情形在应急中遇到服务器不能拖入工具进行分析的情况下，又想确认文件是否安全，这就需要提取进程对应的PE文件hash然后去威胁情报平台进行确认。Ps:不能拖入工具的原因有很多，可能是服务器拖入数据拖出数据需要流程审批，可能是服务器已经被感染，可能是客户不允许这种操作，因此可以先了解一下现象后直接看看可疑进程、服务、启动项对应的一些程序文件。Windows中有很多办法来计算文件hash，...

Windows补丁搜索网站当你在处理应急响应的时候，你也许碰到一些较新的windows漏洞被理由的情形，在这种情况下，你如何去为第三方提供安全的解决方案呢？Windows漏洞补丁查询网站可以帮助你解决这个问题！网站地址：http://www.catalog.update.microsoft.com/Home.aspx...

摘要本文介绍如何在 SMB 客户端和服务器组件上启用和禁用服务器消息块 (SMB) 版本 1 (SMBv1)、SMB 版本 2 (SMBv2) 和 SMB 版本 3 (SMBv3)。警告：我们建议你不要禁用 SMBv2 或 SMBv3。 禁用 SMBv2 或SMBv3只能作为临时故障排除措施。 请勿使 SMBv2 或 SMBv3 保持禁用状态。在 Windows 7 和...

此脚本用于简化应急响应过程，主要是针对CentOS系统应急响应的一些基础项，如下所示：1）系统负载、内存占用、CPU使用率高的进程2）系统初始化调用3）定时任务4）监听端口、主动外连（高并发机器慎用）5）777目录下的可执行文件6）系统命令替换7）SSH登录成功和失败IP8）调用河马检测最近修改的jsp文件9）调用rkhunter查杀Rootkit脚本如下：...

为了帮助安全分析师更好的完成工作，小编整理了一些现在比较流行的安全应急响应工具和资源，从磁盘镜像创建工具、内存分析工具到内存镜像工具、沙盒/逆向工具等，相信总有一款适合你。磁盘镜像创建工具GetData Forensic Imager - GetData Forensic Imager是一款基于Windows的程序，能对常见的取证文件格式进行捕获，转换或验证取证镜像。Guyma...

0x00 前言​ 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时，急需第一时间进行处理，使企业的网络信息系统在最短时间内恢复正常工作，进一步查找入侵来源，还原入侵事故过程，同时给出解决方案与防范措施，为企业挽回或减少经济损失。针对常见的攻击事件，结合工作中应急响应事件分析和解决的方法，总结了一些Linux服务器入侵排查的思路。0x01 入侵排查思路一、账号安全基...

0x01 Web服务一般如果网络边界做好控制，通常对外开放的仅是Web服务，那么需要先找到Webshell，可以通过如下途径：1）检查最近创建的php、jsp文件和上传目录例如要查找24小时内被修改的JSP文件：find ./ -mtime 0 -name "*.jsp"2）使用Webshell查杀工具Windows下D盾等，Linux下河马等。3）与测试环境目录做对...

Tomcat 服务器是一个免费的开放源代码的Web 应用服务器，属于轻量级应用服务器，在中小型系统和并发访问用户不是很多的场合下被普遍使用，是开发和调试JSP 程序的首选。对于常使用web服务器的朋友肯定会了解，一般的web server有两部分日志：一是运行中的日志，它主要记录运行的一些信息，尤其是一些异常错误日志信息二是访问日志信息，它记录的访问的时间，IP，访问的资料等相关信息。...

今天是某司网络学院的服务器被黑，记录下处理的过程，如下图是某司网络学院服务器对外进行C&C通信，客服kill掉进程之后，又产生新的恶意进程。先来查一查连接情况，发现有个随机字符串进行对外异常连接，kill掉相关进程，果然会立马拉起一个新的以随机字符串命名的进程。微步查一查ip地址27.*.*.61，发现与之通信的是香港的动态ip地址。进入到该进程中（cd /proc/进...

一、基础知识1、ls怎么按照时间排序列出当前目录文件？ls   -lt     时间最近的在前面（降序） ls   -ltr    时间从前到后（升序）2、stat命令是干啥的？      显示文件详细信息，访问时间、内容修改时间、状态修改时间3、lsof的作用是什么？     查看进程打开的文件，打开文件的进程，进程打开的端口（TCP\UDP）     详细内容可参考...

Part0  概述通过对进程、登录日志和历史命令分析，确认溯源一起入侵事件，对入侵者的恶意进程成功查杀，发现入侵者的ftp服务器，上面好多提权工具，朋友们拿去分（wan）析（shua）吧！Part1 事件应急10月21日，国家某局的网络出现拥塞现象，10月23日上午10点到客户现场排查问题，通过流量检测设备发现某刚装完系统的主机数据量异常，该主机仅仅装了suselinux，并未部署应用...

       1）记录文件stat信息，备份文件并删除       2）通过netstat -anltp命令可查看到当前连接信息及建立连接的进程pid，kill掉可疑连接的进程，且已知进程pid可以执行ls -al /proc/pid值 通过exe对应位置找到后门文件路径       3）通过ps aux命令检查是否存在其他可疑进程       4）查看后门内容找到连接的ip或域名（如...

      1）找到被篡改页面，stat文件记录更改时间及用户等信息       2）将被篡改页面拷贝至其他非web目录，恢复正常页面       3）查看页面被篡改时间的accesslog，找出后门文件及操作ip（可能有多个ip访问后门，需要全部记录，重点记录第一个访问ip）       4）stat后门文件记录时间及操作用户等信息，备份文件至非web目录后删除       5）...

前言本文是前段时间处理某用户被黑的分析总结，用户被黑的表现是使用爬虫访问用户网站的首页时会出现博彩关键字，而使用正常浏览器访问时无相关的博彩关键词。这是典型的黑帽SEO的表现，针对这种技术，之前已有相关分析，感兴趣的同学可以看一看。此次分析，发现用户的服务器被多波不同利益的黑客入侵，里面有一些比较有意思的内容，所以特意分析总结了一下。一、概述1、分析结果经过分析，目前得到以下结...

创建文件夹挂不上，一想是因为前几天测试sudo提权的时候把selinux打开了然后再看一下，ps和netstat看不到了。大小变成了4096修复：检查mount：1）/proc/mounts2）/proc/$$/mountinfo[root@server120 tmp]# cat /proc/$$/mountinfo | grep 353...

1.  概述  上段时间一直忙于处理大会安全保障与应急，借助公司云悉情报平台，发现并处置几十起网站被劫持的情况。对黑客SEO技术颇有感觉。正好这段时间有时间，把以前遇到比较有趣的案例和大家分享一下。里面很多技术其实早已被玩透，只是网上搜了一下并无太多这方面的介绍。所以在这里共享一下相关的案例，案例主要分享一下思路。1.1 原理网站劫持是一个相对古老的技术，主要是黑帽用来做SEO用。实现...

1 情况概述该案例是前期应急处置的一起因安全问题导致的内网不稳定的情况。写下来，和大家一起讨论应急响应的一些思路及其中间遇到的一些坑，欢迎大牛指点、讨论。情况是这样的：某用户发现在网络经常出现内网中断的情况，经其内部分析，初步判定可能为其在云上的一台虚拟服务器(Linux)异常导致，但是前期对这台虚拟主机进行常规的安全检查与数据包分析，并没有发现其有异常情况。但是用户发现只要这台虚拟主...

0x01 背景本周是在目前公司的最后一周，周五就离职了，在这里待了2年半时间，说短也不短，职业生涯可能也没多少个2年半。出门和同事去撸串的路上收到的告警，急忙赶回来处理，很简单的一次应急，没什么技术含量，因为时间点特殊才想着记录一下，毕竟是最后一次应急响应。0x02 排查过程看到告警信息，发现Java进程执行了Wget操作，下载了一个Python文件，访问Python文件，内容如下：...

在应急响应时，开机启动项是必查的项，下面梳理一下关于开机启动与服务相关需要排查的点。直接从init开始说。RHEL5、RHEL6、RHEL7的init系统分别为SysV init、Upstart、SystemdCentOS 5启动流程如下：1）加载BIOS的硬件信息与进行自我测试，并依据设置取得第一个可启动设备；2）读取并执行第一个启动设备内MBR（主引导分区）的Boot ...

在应急响应中，最重要的一个点就是定时任务，例如Redis未授权通过持久化配置写入Crontab中。下面梳理一下定时任务相关的知识点：一般常用的定时任务crontab -l是用户级别的，保存在/var/spool/cron/{user}，每个用户都可以通过crontab -e编辑自己的定时任务列表。而/etc/crontab是系统级别的定时任务，只有Root账户可以修改。另外在应急的时候需要留...

网管同事反应Windows 2008 R2服务器上多了些exe文件，之前没怎么关注过Windows的监控。这台主机提供了Mssql和Mysql服务，是台DB服务器，当时由于交换机没有口了，所以配置了公网IP，前端没有硬件防火墙，网管只是启用了本机的windows防火墙，过滤了3389等敏感端口，但是445端口对外开放了。排查过程检查Mysql，发现有两个版本，一个5.1，一个5.7，且运...

中毒现象：内到外的流量大，打DDOS入侵方式：通过SSH暴力破解病毒分析：木马病毒在top里面表现为随机的10位字母的进程，看/proc里面的信息，则为ls，cd之类常见的命令。杀死该进程后，会再随机产生一个新的进程，删除这些木马文件后，会再重新生成新的木马文件。由此可以判断，木马病毒会自动修复，多个进程之间会互相保护，一旦删除和被杀，立即重新启动和复制。首先注意到/tmp/.zl文件[...

0×0 背景随着主机安全的问题日渐突显，挖矿勒索后门等病毒隐蔽手法越来越多种多样，仅仅依靠传统的安全工具不能完全查杀出相关恶意程序。安全事件具有突发性，复杂性与专业性，基于windows的一些运行机制人工排查安全事件需要从多个方面去检查与清除，抛砖引玉提出以下思路供参考。0×1 检查思路恶意程序本身有网络行为，内存必然有其二进制代码，它要么是进程的 DLL /如此模块，通常为了保活，它...

海峡信息白帽子id:Bypass 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时，急需第一时间进行处理，使企业的网络信息系统在最短时间内恢复正常工作，进一步查找入侵来源，还原入侵事故过程，同时给出解决方案与防范措施，为企业挽回或减少经济损失0×00 前言常见的应急响应事件分类：web入侵：网页挂马、主页篡改、Webshell系统入侵：病毒木马、勒索软件、远控后门...

Morphus实验室讲述了这样一个故事，在某周六的早上，你作为一家大公司的CSO（首席安全官），突然开始收到了雪片般飞来的消息。他们告诉你有游客在访问了你公司的网址后，浏览到了各种恶意内容。这听起来像是公司网站出现了混乱，其实可能发生了更严重的的事情。当你深入研究后会发现，公司整个域名都被黑客劫持了，他们试图从你们客户那里窃取数据并且传播恶意代码。在本文中，我们会详细介绍针对上述场景的应急...

0x00 前言​随着虚拟货币的疯狂炒作，挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一。病毒传播者可以利用个人电脑或服务器进行挖矿，具体现象为电脑CPU占用率高，C盘可使用空间骤降，电脑温度升高，风扇噪声增大等问题。0x01 应急场景​ 某天上午重启服务器的时候，发现程序启动很慢，打开任务管理器，发现cpu被占用接近100%，服务器资源占用严重。0x02 事件分析​ 登...

0x00 前言​ 勒索病毒，是一种新型电脑病毒，主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。自WannaCry勒索病毒在全球爆发之后，各种变种及新型勒索病毒层出不穷。0x01 应急场景​ 某天早上，网站管理员打开OA系统，首页访问...

在政府、医院内网，依然存在着一些很古老的感染性病毒，如何保护电脑不受病毒感染，总结了几种预防措施0×00 前言        蠕虫病毒是一种十分古老的计算机病毒，它是一种自包含的程序（或是一套程序），通常通过网络途径传播，每入侵到一台新的计算机，它就在这台计算机上复制自己，并自动执行它自身的程序。常见的蠕虫病毒：熊猫烧香病毒 、冲击波/震荡波病毒、conficker病毒等。0×...

【应急场景】前段时间,某网站一直被网站管理员吐槽响应速度变得很慢，安全服务工程师小C接到用户反馈后就第一时间登录了服务器,发现服务器非常卡,虽然重启服务器就能保证一段时间的正常访问，但是网站响应状态时而飞快时而缓慢，快则1-2秒，慢则2分钟以上。小C针对网站服务器异常，把系统日志和网站日志作为排查处理的重点，他查看Window安全日志，发现大量登录失败的记录：到这里，小C知道下一步...

0x01 排查过程异常进程发现：/usr/bin/.sshd[kworker95]在开机启动中发现：/tmp下的异常文件异常的网络连接使用lsof的时候发现返回内容不正常，查看下lsofmtime为10:46，并且大小不正常，很明显命令被替换了。看下/usr/bin/下/use/sbin下然后检查了cron、rc3等没有发现异常。0...