实习Day11

最新推荐文章于 2024-09-12 17:36:02 发布
最新推荐文章于 2024-09-12 17:36:02 发布
阅读量385 收藏 5
点赞数 14
文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gwy13290049193/article/details/142174141
版权

目录

一、应急响应流程

二、应急响应措施及相关操作总结

Windows

Linux

一、应急响应流程

1.1 准备阶段
准备(Preparation)阶段是网络安全事件响应的第一个阶段,也属于一个过渡阶段,即横跨在网络安全事件真正发生前和有迹象将要发生的时间段上,大部分工作需要在应急响应之前就已做好准备。这一阶段极为重要,因为事件发生时可能需要在短时间内处理较多事务,如果没有足够的准备,将无法准确地完成及时响应,导致难以意料的损失。

1.2 研判阶段
检测阶段确认入侵事件是否发生,如真发生了入侵事件,评估造成的危害、范围以及发展的速度,事件会不会进一步升级。然后根据评估结果通知相关的人员进入应急的流程。

检测阶段主要包括:事件类型、事件影响范围、受影响系统、事件发展趋势、安全设备等。

1.3 遏制阶段
采用针对性的安全措施降低事件损失、避免安全事件的扩散和安全事件对受害系统的持续性破坏。主要分为:物理遏制、网络遏制、主机遏制、应用遏制等。常见手段:断网、降权、网络封堵等。

1.4 根除阶段
本阶段主要任务是通过事件分析查明事件危害的方式,并且给出清除危害的解决方案。个人认为可以从以下几个方面入手:系统基本信息、网络排查、进程排查、注册表排查、计划任务排查、服务排查、关键目录排查、用户组排查、事件日志排查、webshell排查、中间件日志排查、安全设备日志排查等。

1.5 恢复阶段
恢复系统的运行过程就是把受影响系统、设备、软件和应用服务还原到正常的工作状态;系统恢复、网络恢复、用户恢复、数据恢复以及重新部署。常见手段:系统重装、补丁加固、网络恢复、密码重置、木马清除等。

1.6 跟踪阶段
在业务系统恢复后,需要整理一份详细的事件总结报告,包括事件发生及各部门介入处理的时间线,事件可能造成的损失,为客户提供安全加固优化建议。

跟踪阶段主要包括:调查事件原因,输出应急响应报告,提供安全建议、加强安全教育、避免同类事件再次发生。

1.7 取证阶段
全面收集与事件相关的证据材料,包括日志、流量数据、样本文件等。分析收集到的证据,还原事件发生的过程和攻击者的行为轨迹。

二、应急响应措施及相关操作总结

Windows

        信息收集

使用systeminfo命令查看系统信息,包括操作系统版本、补丁安装情况等。

使用net user命令查看当前用户列表,通过net user 用户名查看特定用户的详细信息。

使用netstat -ano命令查看当前网络连接,找出可疑的外部连接或监听端口。

查看事件查看器(eventvwr.msc)中的安全、系统和应用日志,分析异常事件。

使用tasklist命令查看当前运行的进程,通过tasklist /svc查看进程与服务的关联。

        系统加固

更新操作系统补丁,使用Windows Update或第三方补丁管理工具。

配置防火墙规则,限制不必要的入站和出站连接。

使用账户策略加强密码复杂度要求,禁用或限制来宾账户访问。

启用安全策略,如审核策略、账户锁定策略等。

        恶意代码清除

使用Windows Defender或第三方杀毒软件进行全盘扫描,清除恶意代码。

对于无法通过杀毒软件清除的恶意代码,可能需要手动删除相关文件、注册表项和服务。

使用taskkill /f /im 恶意程序名.exe命令强制结束恶意进程。

        日志分析

深入分析事件查看器中的日志,特别是与安全相关的事件。

使用wevtutil命令导出日志进行分析,或使用Log Parser、Event Log Explorer等工具进行分析。

分析网络流量日志,使用Wireshark等工具捕获和分析数据包。

Linux

        信息收集

使用uname -a命令查看系统信息,包括内核版本、主机名等。

使用whoami和id命令查看当前用户权限。

使用netstat -tulnp命令查看当前网络连接和监听端口。

查看/var/log目录下的系统日志,如/var/log/auth.log、/var/log/syslog等。

使用ps aux命令查看当前运行的进程。

        系统加固

更新系统软件包,使用apt-get update && apt-get upgrade(Debian/Ubuntu)或yum update(CentOS/RHEL)。

配置防火墙规则,使用iptables或firewalld限制网络访问。

禁用或限制root账户登录,使用sudo进行权限提升。

配置SELinux或AppArmor增强系统安全。

        恶意代码清除

使用find、grep命令查找可疑文件,如find / -name "*malicious*"。

使用kill -9 进程ID命令强制结束恶意进程。

手动删除恶意文件、清理crontab定时任务等。

使用chkrootkit、rkhunter等工具检测并清除rootkit。

        日志分析

深入分析/var/log目录下的日志文件,特别是与安全相关的事件。

使用logrotate配置日志轮转,避免日志文件过大。

使用rsyslog或syslog-ng等工具进行日志集中管理和分析。

使用fail2ban等工具分析登录失败尝试,并自动封禁恶意IP。

lauv..
关注
  • 14
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
中软国际暑期实习day11(2020.08.20)-Spring Boot项目实战(新闻项目-新闻管理)
08-26 228
今天在昨天的基础上实现新闻管理功能。 文章目录1.新闻管理2.总结 1.新闻管理 新闻管理也主要是对新闻的一些基础操作,如查询所有等等。其核心代码如下所示 // 分页全查 @GetMapping("/news") public String news(@PageableDefault(size = 3) Pageable pageable, Model model) { // 不仅需要查询当前页的数据 还需要查询全部的类别 model.addAttribut
弱口令爆破 实习day01
08-27
弱口令爆破 实习day01
实习日记day11
tianjiaqiyyy的博客
07-05 412
Springboot项目springboot是什么springboot优点springboot搭建 springboot是什么 Spring Boot 是由 Pivotal 团队提供的全新框架,其设计目的是用来简化新 Spring 应用的初始搭建以及开发过程。该框架使用了特定的方式来进行配置,从而使开发人员不再需要定义样板化的配置。用我的话来理解,就是 Spring Boot 其实不是什么新的框架...
实习Day3
gwy13290049193的博客
08-29 973
基于代理模式进行,扫描器作为中间人,原样转发流量并返回响应给客户端,同时记录流量并修改参数重新发送请求进行扫描。在bp的proxy模块中点击proxy settings,在搜索框中搜索upstream,找到upstream proxy servers,点击add添加上游代理,配置如下,:如果决定对某个请求进行自动化扫描,可以通过BurpSuite配置上游代理将该请求转发Xray,即BurpSuite作为客户端代理将请求转发给Xray作为另一个代理服务器。:用户在浏览器中输入目标URL并发起请求。
实习-1Day
leer_的博客
06-25 299
实习-1Day 第一天实习,安装了各类不同的工具。 上午老师在了解我们目前的技术水平的过程中进行了一些询问(嘻嘻)。总结一下我所掌握的,简单听说过的和完全不懂的。 基本了解的部分:(1)前端入门还是比较简单,刚上大二的时候自学了html、css以及js,后来做了偏静态的环保网站,作为实践练习,至此html和css已经掌握的还不错。(2)在这之后写了一些轮播图之类的小型动态网页,最后写了学校的学生信...
实习day2
m0_64353021的博客
06-05 89
• 今天进行了虚拟机的成功迁移。• 修改了相关IP地址等。• 下载了git和小乌龟。• 创建了自己的仓库。
Day11实习日记1
08-08
Day11 实习日记 1,表明这是一个 Java 实训项目的日记记录,记录了作者在学习 Java Web 开发时的经验和感受。 描述解释 描述部分为空,这表明作者主要是记录自己的实践经验和感受,而不是对项目的总结或介绍。 ...
Day05实习日记1
08-08
"Day05实习日记1" 通过阅读 Day05 实习日记1,我们可以总结出以下几个关键的知识点: 1. HTML 基础知识: 在这篇实习日记中,我们可以看到作者在学习 HTML 的基础知识,包括文本格式化标签、字符实体、锚点等。...
Day09实习日记1
08-08
Java 实训 Day09 实习日记1 今天是 2017 年 7 月 12 日星期三,晴天,地点在工科楼 A203,老师是张明星,单位是南京华信智源教育科技有限公司。本次实习日记主要记录了使用 Java 进行的 MVC 相关操作,并使用 ...
Web安全之SQL注入:如何预防及解决
J老熊
09-07 1406
SQL注入是一种通过在用户输入中嵌入恶意SQL代码的攻击方式。攻击者可以利用漏洞在未经授权的情况下访问数据库,执行原本不被允许的操作。例如,攻击者可以绕过身份验证、检索敏感信息,甚至删除数据。SQL注入是Web应用程序中最常见且最危险的安全漏洞之一,尤其是在涉及数据库操作的场景下,如电商交易系统。通过使用、严格的输入验证、最小权限原则以及使用ORM框架等方法,我们可以有效防止SQL注入攻击。开发人员需要养成良好的编码习惯,始终考虑潜在的安全问题,确保应用程序的安全性。
【网络安全】漏洞挖掘
anquan2233的博客
08-29 1798
在springframeworl/expression/spel/stand/InternalSpelExpressionParser/doParseExpression()方法中、会在tokenizer.process()中 对token进行 源码与字节码的判断操作、继续向下。会进入到springframework/cloud/function/context/config/RoutingFunction/functionFromExpression()方法。Payload 的构造可以参考官方测试用例。
网络安全实训八(y0usef靶机渗透实例)
Wrop的博客
09-12 139
y0usef靶机渗透实例
如何用3个月零基础入门网络安全?_网络安全零基础怎么学习
2401_84466224的博客
09-11 780
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
网络安全(黑客)自学
白帽子凯哥聊黑客
09-04 1737
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
【网络安全】服务基础第二阶段——第五节:Linux系统管理基础----Linux常见应用服务(Apache、数据库)
goldfish8848的博客
09-12 745
在Linux系统中,有许多常见的应用服务,它们用于执行各种任务,如网页托管、数据库管理、文件传输等。
国家网络安全宣传周 | 2024年网络安全领域重大政策法规一览
WAJXY2021的博客
09-12 747
整理了2024年国内发布的网络安全领域相关政策法规,希望能为广大从业者与关注者提供相关参考,共同促进网络安全生态的健康发展。
网络安全宣传周 | DNS安全威胁与应对措施分享
最新发布
weixin_53018687的博客
09-12 621
然而,DNS协议在设计初期只注重功能的实现,未充分考虑安全验证机制,缺乏有效的安全防御手段,DNS协议数据包往往能够在网络中畅通无阻,为攻击者提供了可乘之机,这一天生的设计缺陷使得DNS系统天然地成为了安全领域的薄弱环节。DNS劫持:DNS劫持是指攻击者通过篡改DNS解析结果,将用户的流量重定向到不同的IP地址,通常是恶意网站。DNS泛洪攻击:DNS洪泛攻击是一种拒绝服务攻击,攻击者通过发送大量的DNS请求,通常是伪造的或毫无意义的查询,消耗DNS服务器的资源,使其无法响应合法的查询请求。
深入解析反射型 XSS 与存储型 XSS:原理、危害与防范
2301_77160226的博客
09-05 834
反射型 XSS 和存储型 XSS 都是常见的 XSS 攻击类型,它们的原理和危害有所不同,但都可以对用户造成严重的危害。为了防范 XSS 攻击,我们需要采取一系列的措施,如输入验证和过滤、输出编码、使用安全的 API 和框架等。同时,我们也需要教育用户提高安全意识,不要点击来自不可信来源的链接,不要在不可信的网站上输入敏感信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值