安全运营 -- 100个蓝队溯源技巧(逐步更新)

已于 2023-12-08 16:49:45 修改
阅读量5.6w 收藏 10
点赞数 9
分类专栏: 安全运营 安全运维 网络安全 文章标签: 安全 运维 网络安全
于 2023-12-08 16:44:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leeezp/article/details/133992139
版权

0x00 背景

记录一些常用的入侵排查命令和日常运维思路分享。(排名不分先后,逐步更新ing)

0x01 linux 查询所有用户计划任务

cat /etc/passwd|cut -f 1 -d : |xargs -I {} crontab -l -u {}

0x02 排查linux记录密码后门

strace 监听ssh来源流量记录密码后门(本机输入的密码记录不到),需要提前安装 strace  

(strace -f -F -p `ps aux|grep "sshd -D"|grep -v grep|awk {'print $2'}` -t -e trace=read,write -s 32 2> /tmp/sshd.log &)


grep -E 'read\(6, ".+\\0\\0\\0\\.+"' /tmp/sshd.log   (正确错误的密码都会记录)

排查的时候可以排查strace进程着手。

0x03 查询windows 安全组成员变化

windows终端事件日志监控指南 - 代码先锋网

通用组、全局组、本地域组的区别

用户已添加到特权组 4728, 4732, 4756 Information windows 安全日志 windows 安全审核

<

最低0.47元/天 解锁文章
leeezp
关注
  • 9
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
最全Linux 应急响应-溯源-系统日志排查
Cwillchris的博客
08-04 918
黑客入侵系统后一般会将系统日志清空,以达到清理痕迹的作用,如果日志被黑客清空我们就无法通过日志来分析黑客入侵系统后都做了哪些事情,在很多情况下黑客在清理日志的时候都会忽略内存中的日志。将本次登录的命令写入命令历史文件中,命令不是使用了就立即写入到文件中的,会现在缓存中,用户退出登录时会自动写入文件,-w 命令可以立即写入,-c 命令可以清除当前缓存中的命令。创建),但若失败(例如在系统启动早期"/var"尚未挂载),则转而保存在 /run/log/journal 目录中(将会被自动按需创建)。...
高级蓝队溯源手册(实战指南)
03-11
背景: 授权授权攻防演练过程中,攻击者千方百计使用各种方法渗透目标。一般情况下攻击链包括:侦察、武器化、交付、利用、安装、命令和控制、窃取目标数据。在溯源中,安全人员对攻击者某个阶段的攻击特点进行分析,再结合已掌握的威胁情报数据将攻击特点和数据聚类,能够有效掌握攻击者的攻击手法和 IP 、域名资产等。 目标: 掌握攻击者的攻击手法(例如:特定木马、武器投递方法); 掌握攻击者的 IP域名资产(例如:木马 C2、木马存放站点、资产特点); 掌握攻击者的虚拟身份、身份; 掌握攻击者武器的检测或发现方法,将捕获的数据形成新的线索。 方法论: 针对交付、利用、安装、命令和控制四个阶段捕获到的数据做深度分析,聚类提取数据特点形成规则。将规则应用于一些安全设备产出高可信度的告警用于防御,或者结合情报数据(如样本信息、域名信息、IP 信息等),将深度溯源的情报(如身份信息、攻击队伍等)产出。 1. 攻击链部分可溯源的关键点: 图片 2. 攻击链利用阶段可溯源的方法及利用点: 图片 攻击回溯的关键点主要分为两类: 攻击分类:根据攻击者的漏洞利用数据包特点(如:字符串格式、特殊字符串)
Linux 应急响应-溯源-系统日志排查
weixin_44143876的博客
01-24 1766
Linux 应急响应-溯源-系统日志排查
溯源(三)之Linux-入侵排查
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
03-23 1424
etc/passwd 是我们在排查Linux系统异常账号时需要去排查的,在排查异常账号时要注意异常账号的uid是不是0,因为攻击者常常会把新增加的账号uid设为0,以此来获得同root用户相同的权限,同时nologin也是我们需要重点排查的一个地方,nologin代表用户从来没有登陆过,如果出现了其他的,需要注意一下。由于操作系统的不同,Windows是图形化的界面,而Linux是命令行的界面,在Linux系统中,如果我们要去入侵排查,筛选,也只能用命令去执行。这样可以查看日志文件中最多的IP。
应急响应-Linux常用应急溯源命令
lza20001103的博客
08-28 815
Linux常用应急溯源命令 文章目录Linux常用应急溯源命令常用命令1、账号相关命令2、程序相关命令3、日志相关命令3.1 定位爆破root帐号来源IP3.2 查询登录成功的IP3.3 查询增加用户日志3.4 查询删除用户日志3.5 查询su切换用户记录4、定时任务5、文本相关5.1grep查找前后数据5.2显示文件几行6、其他相关6.1查看最近改动的各类脚本文件和其他文件6.2域名hosts 常用命令 1、账号相关命令 1、查询特权用户特权用户(uid 为0):awk -F: ‘$3==0{print
Linux应急响应学习
虚幻私塾
08-28 384
以空格作为分隔符,来将用户名和ip进行提取(用户登录失败的信息)通过在目录下/secure* 来查看登录的日志。通过grep 来将登录失败的用户过滤出来。
记一些linux安全应急排查思路和命令
XunanSec的博客
06-02 354
0x00 前言都是蓝队一些很常用的应急排查命令0x01 防守排查基本流程1. 查看日志以及防守设备的日志,看看攻击情况(/在探测(是否有风险)/已经入侵成功) 探测中有风险就直接 2. 进来的话看日志判断动了哪些资源 判断目的 提交报告 隔离服务环境 看判断漏洞位置 清理shell 及时修复 及时提交报告 3. 根据攻击者ip 做一些溯源 比如威胁感知平台查查有些攻击者如果使用自己的vps ,看看上面是否有服务 有就可以进行找 4. 搞进来了可以不立马杀死 投放诱饵文件 尝试反杀攻击者 根据攻击者特征(浏览
Capstone-Engagement-Project:红队vs蓝队实践
04-18
顶峰订婚项目 红队vs蓝队练习。 该项目将带您进入一个旅程,在旅程中,您将了解Red Team攻击和Blue Team首先监视如何采取适当措施以缓解当前漏洞。 您在哪支球队上? JK Blue Team一路走好!
awesome-cybersecurity-blueteam-cn:网络安全 · 攻防对抗 · 蓝队清单,中文版
04-14
本项目基于,经过蹩脚的翻译和一些补充,旨在帮助以中文为母语的安全研究者更好地了解蓝队工作,以及便利地找寻蓝队工具。 非常感谢原作者的整理,对于我这个蓝队的入门学习者来说,帮助非常大。也希望自己的一点点...
溯源系列:溯源案例二(2022实战 - 记一次Everything服务引发的蓝队溯源以及Everything后渗透的利用简介)
01-08
溯源系列:溯源案例二(2022实战 - 记一次Everything服务引发的蓝队溯源以及Everything后渗透的利用简介)
competition-scripts:我为蓝队比赛编写的各种脚本
03-07
比赛脚本 我为蓝队比赛编写的各种脚本
Linux溯源技巧
zizizizizi_的博客
03-15 3644
一.溯源的思路 看对方的目标,最终的目的是什么,根据自己的能力看实现这个目标需要哪些操作,看这些操作过程中存在着那些日志 入手点 1.网站源码 2.日志分析 3.系统存储信息分析 4.分析进程端口 二.网站源码分析 分析网站源码可以帮助我们获取网站被入侵时间, 黑客如何的 IP, 等信息, 对于接下来的日志分析有很大帮助。 1.查杀后门 可以使用 D 盾查杀是否存在网站后门,如果存在 webshell,记录下该 webshell 的信息。 找到 webshell 后,就可以根据该文件的路径,在日志
linux日志溯源,Linux用户历史行为的追溯方法
weixin_30216901的博客
05-02 1116
1./var/account/pacct文件(非文本文件,每天1个保留7天轮替时间为每日4:02)用于查找由于用户操作而引发的系统或应用的故障原因。linux默认不启动该进程统计程序。但只要系统负荷和系统硬盘空间允许,可以使用该日志文件。启动进程统计程序的命令:accton /var/account/pacct停止进程统计程序的命令: acctonpacct日志文件记录了历史上曾经发生过的所有用...
红队内网攻防渗透:内网渗透之内网对抗:横向移动篇&Kerberos&委派安全&非约束系&约束系&RBCD资源系&Spooler利用
HACKONE的博客
06-23 165
机器A(域控)访问具有非约束委派权限的机器B的服务,会把当前认证用户(域管用户)的的TGT放在ST票据中,一起发送给机器B,机器B会把TGT存储在lsass进程中以备下次重用。简而言之,非约束委派是指用户账户将自身的TGT转发给服务账户使用。委派是一种域内应用模式,是指将域内用户账户的权限委派给服务账号,服务账号因此能以用户的身份在域内展开活动(请求新的服务等),类似于租房中介房东的关系去理解。攻击者拿到了一台配置非约束委派的机器权限,可以诱导域管来访问该机器,然后得到管理员的TGT,从而模拟域管用户。
安全Linux Fanotify使用入门
追寻梦想的青春
06-19 914
fanotify是另一种文件监控机制,在使用上两者类似,都是先调用init函数初始化句柄,然后调用类似watch的函数添加监控路径,再使用select+read的方式读取出变化的事件,根据事件中给出的参数获取文件的路径、事件类型以及其他需要的数据。如果是监控主机上的路径,directed结合FAN_EVENT_ON_CHILD标志就只能监控目录以及目录下的文件,per-mount可以监控pathname所在的挂载点中所有文件或者目录的变化,而global模式可以监控整个文件系统。
企业防盗版,如何保障上网安全
shenxinda_lu的博客
06-20 362
当需要访问互联网时,用户在隔离沙盒内进行操作,确保主机与互联网物理隔离,只有沙盒能够访问互联网,且沙盒与本机隔离。
.hmallox勒索病毒解密方法|勒索病毒解决|勒索病毒恢复|数据库修复
最新发布
weixin_13318844580的博客
06-23 918
导言:在当今数字化时代,勒索病毒已经成为网络安全的一大威胁,其中包括了最近出现的.hmallox勒索病毒。这类恶意软件不仅能够对计算机系统进行加密,还会要求用户支付赎金以换取解密密钥,给个人用户和企业带来了严重的损失和困扰。当面对被勒索病毒攻击导致的数据文件加密问题时,您可添加我们的技术服务号(sjhf91)。我们将为您提供专业、快速的数据恢复技术支持。
2022护网蓝队排名
07-27
护网蓝队排名是指在网络安全竞赛或演练中,参与者根据其在攻防对抗中的表现和得分进行排名。根据提供的引用内容,没有提到2022年的护网蓝队排名。因此,无法提供关于2022年护网蓝队排名的具体信息。 #### 引用[.reference_title] - *1* [红蓝对抗-2022年蓝队初级护网测试总结](https://blog.csdn.net/lza20001103/article/details/126550377)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [2022年蓝队初级护网总结](https://blog.csdn.net/zlloveyouforever/article/details/125174473)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值