主机安全
关注
分享
扫一扫
文章平均质量分 90
主机安全,关注攻击、检测
lady_killer9
CKA、CKS证书持有者,安全工程师
展开
-
应急响应-应急响应流程(各个阶段与实战)
做入侵检测时会有一些攻击告警,需要做应急响应。本文从流程规范角度来浅谈一下应急响应的步骤,介绍应急需要准备哪些知识,以及常见攻击流程示例。后面几章留坑,持续更新中…P(PreParation准备)D(Detection检测)C(Containment遏制)E(Eradication根除)R(Recovery恢复)F(follow-up跟踪总结)根据PDCERF模型进行优化,分为以下几个阶段。时间范围资产范围攻击路径攻击手法止损情况恢复情况待办。原创 2024-09-01 13:56:09 · 2342 阅读 · 0 评论 -
应急响应-爆破漏洞应急响应流程(以SSH爆破为例)
爆破漏洞是比较常见漏洞,端口开放,管理后台没有做登录频率限制等情况都可能遭受到爆破攻击,本文以SSH爆破为例,介绍下应急响应流程。8月23日00时13分收到SSH爆破成功告警,ip为172.19.0.16的机器被攻击,来源ip是172.19.0.3,经研判分析,攻击者从8月23日00时06分开始发起攻击,失败115次,成功2次,成功后修改了authorized_keys文件,已还原。来源机器为业务测试机器,未找到攻击入口,重装了操作系统。MTTD 7分钟,MTTC 20分钟。原创 2024-09-01 11:24:26 · 1179 阅读 · 0 评论 -
主机安全-网络攻击监测
本文介绍主机网络层面上的攻击场景,每种攻击场景举一个例子。监测方面以字节跳动的开源HIDS elkeid举例。针对网络攻击,通常可以考虑从以下方面做规则来源ip:针对异常ip,有访问即告警。访问端口:针对高危端口,有访问即告警。访问频率:针对过多的访问,在一段时间内超过频率即告警。例如,对同一端口或多个端口。原创 2024-08-24 21:01:38 · 2404 阅读 · 1 评论 -
应急响应-主机安全之网络相关命令(Linux操作系统)
本文介绍下在应急响应过程中,linux系统下排查网络可能用到的命令,有些命令选项很多,读者可以仅看常用选项。原创 2024-08-24 21:00:37 · 1684 阅读 · 0 评论 -
应急响应-主机安全之系统及进程排查相关命令(Linux操作系统-初级篇)
本文介绍下在应急响应过程中,linux系统下排查系统、进程、服务可能用到的命令,有些命令选项很多,读者可以仅看常用选项。不涉及内存、进程注入、rootkit等高级攻击的排查。常用-n参数,n为展示的数量systemctl命令 是系统服务管理器指令,它实际上将 service 和 chkconfig 这两个命令组合到一起。任务旧指令新指令使某服务自动启动使某服务不自动启动检查服务状态systemctl status httpd.service (服务详细信息)原创 2024-08-07 11:30:18 · 1646 阅读 · 0 评论 -
应急响应-主机安全之文件相关命令(Linux操作系统)
本文介绍一下主机安全中目录、文件相关的命令,一些常用命令不详细介绍,仅仅列出,主要介绍的是安全相关的命令,方便做排查和防御。最后列出应急常看的目录。原创 2024-08-07 11:28:45 · 1466 阅读 · 0 评论 -
主机安全-进程、命令攻击与检测
本文更新通过在主机(不含容器)上直接执行命令或启动进程来攻击的场景。检测方面以字节跳动的开源HIDS elkeid举例。每种检测仅举一个例子,其余的给出示例payload。原创 2024-07-13 20:06:05 · 1162 阅读 · 1 评论 -
主机安全-开源HIDS字节跳动Elkeid安装使用
HIDS( host-based intrusion detection system,基于主机的入侵检测系统),通过监测主机上的进程、文件、网络等信息来识别入侵风险。原创 2024-07-13 16:24:24 · 3870 阅读 · 0 评论