![](https://img-blog.csdnimg.cn/20201014180756922.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
攻击溯源
文章平均质量分 93
定位系统攻击的源头
Passer798
鹏,大鸟也,哈哈哈
展开
-
Linux入侵检测
目录一、审计命令二、日志查看三、用户查看四、进程查看五、其他检查一、审计命令在linux中有5个用于审计的命令:last:这个命令可用于查看我们系统的成功登录、关机、重启等情况;这个命令就是将/var/log/wtmp文件格式化输出。lastb:这个命令用于查看登录失败的情况;这个命令就是将/var/log/btmp文件格式化输出。lastlog:这个命令用于查看用户上一次的登录情况;这个命令就是将/var/log/lastlog文件格式化输出。who:这个命令用户查看当前登录系统的情况;这个命转载 2021-01-27 11:52:15 · 394 阅读 · 0 评论 -
Windows主机入侵痕迹排查办法
目录1、排查思路1.1、初步筛选排查资产1.2、确定排查资产1.3、入侵痕迹排查2、排查内容2.1、windows主机2.1.1、网络连接2.1.2、敏感目录2.1.3、后门文件2.1.4、后门账号2.1.5、自启动项2.1.6、日志1、排查思路在攻防演练保障期间,一线工程师在实施主机入侵痕迹排查服务时可能面临时间紧、任务急、需要排查的主机数量众多情况。为了确保实施人员在有限的时间范围内,可以高效且保证质量的前提下完成主机入侵痕迹排查工作,本人总结了自己的一些经验,下面的内容特此分享主机入侵痕迹排查服务转载 2021-01-19 11:12:39 · 2215 阅读 · 0 评论 -
Windows主机日志分析办法与思路
目录1、筛选分析主机资产2、采集日志样本3、日志分析3.1、暴力破解账密日志3.2、账号管理日志3.3、远程桌面登录日志在做日志分析前,首先我们针对此项工作需要有一个清晰的思路:查看哪些主机的日志(筛选对象)——>在哪里查看(取样)——>怎么查看(研判分析)——>做好记录、保留关键截图——>上报并处置事件闭环。1、筛选分析主机资产筛选原理和上篇文章《Windows主机入侵痕迹排查办法》中的“初步筛选排查资产”部分内容一样,不可能在短时间内客户的所有区域所有主机资产我们都要一一去转载 2021-01-18 12:47:25 · 887 阅读 · 0 评论 -
Windows入侵溯源分析
目录溯源分析的目的溯源分析的思路系统补丁检测恶意用户排查系统日志排查服务web服务漏洞检查其他服务漏洞检查恶意进程排查检查启动项、计划任务、服务文件敏感目录排查后门文件排查病毒/木马检测网络异常网络连接排查异常流量分析溯源分析的目的1、确定入侵的时间和途径2、定位病毒/木马位置3、确定攻击轨迹和危害4、取样分析5、病毒/木马清除溯源分析的思路围绕上述目的,可从系统、服务、文件、网络四个部分进行,每部分相互重叠、相互关联。一:从系统层面确定大概的入侵时间,然后从服务角度确定入侵途径和入侵类型原创 2020-11-19 08:53:28 · 3711 阅读 · 1 评论