安全运营
文章平均质量分 51
记录安全运营工作日常
HeLLo_a119
永远开心!
展开
-
防守方视角-文件上传+命令执行
EDR出现了文件上传、命令执行等多个告警原创 2024-05-07 15:29:04 · 406 阅读 · 0 评论 -
后门检测告警处置-使用powershell关闭windows defender实时防护
• 检查异常端口、进程:检查系统的端口和进程,查看是否存在异常(netstat -ano/nmap)。• 检查启动项、计划任务和服务:检查系统的启动项、计划任务和服务,查看是否存在异常。• 检查系统账号:检查系统账户,查看是否存在新创建的账号等异常账号。• 日志分析:分析系统的日志信息,查看是否存在异常操作记录。• 检查系统相关信息:检查系统的配置信息,查看是否被修改。可以从告警中看到,执行操作的进程为公司杀软的进程。查看服务器登录记录,排查主机是否存在异常。原创 2024-04-25 14:39:08 · 158 阅读 · 0 评论 -
后门检测告警排查-/sbin/mount.fuse文件可能发生篡改
今天安全设备出现了一条后门检测告警,整理一下排查思路提示/sbin/mount.fuse文件可能发生篡改,与rpm中备份的安装文件信息不一致文件静态信息没有进程相关信息,猜测是进程退出太快,安全设备没有抓取到无法从告警中提取有效信息。原创 2024-04-30 10:56:49 · 331 阅读 · 0 评论 -
Atlassian Jira 信息泄露漏洞(CVE-2019-3403) 排查思路
企业广泛使用的项目与事务跟踪工具,被广泛应用于缺陷跟踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领域。如果是正常的访问也会返回敏感数据,返回包中的敏感信息是正常的响应内容,所以他不算是一次攻击成功,算是误报。告警的检测规则是匹配响应中有没有返回数据包里面带有敏感信息的部分(检测URL和响应体)。如果是内部人员正常的操作,可以确定这是一次误报,但是不能确定他存不存在这个漏洞。2.通过受害者IP地址找到对应的人员并确认他们是否进行了可能的不当操作。信息泄露漏洞的告警。原创 2024-04-28 10:13:49 · 329 阅读 · 0 评论