安全运营 -- 100个蓝队溯源技巧(逐步更新)

已于 2023-12-08 16:49:45 修改
阅读量4.7w 收藏 10
点赞数 9
分类专栏: 安全运营 安全运维 网络安全 文章标签: 安全 运维 网络安全
于 2023-12-08 16:44:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leeezp/article/details/133992139
版权

0x00 背景

记录一些常用的入侵排查命令和日常运维思路分享。(排名不分先后,逐步更新ing)

0x01 linux 查询所有用户计划任务

cat /etc/passwd|cut -f 1 -d : |xargs -I {} crontab -l -u {}

0x02 排查linux记录密码后门

strace 监听ssh来源流量记录密码后门(本机输入的密码记录不到),需要提前安装 strace  

(strace -f -F -p `ps aux|grep "sshd -D"|grep -v grep|awk {'print $2'}` -t -e trace=read,write -s 32 2> /tmp/sshd.log &)


grep -E 'read\(6, ".+\\0\\0\\0\\.+"' /tmp/sshd.log   (正确错误的密码都会记录)

排查的时候可以排查strace进程着手。

0x03 查询windows 安全组成员变化

windows终端事件日志监控指南 - 代码先锋网

通用组、全局组、本地域组的区别

用户已添加到特权组 4728, 4732, 4756 Information windows 安全日志 windows 安全审核

<

最低0.47元/天 解锁文章
leeezp
关注
  • 9
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
最全Linux 应急响应-溯源-系统日志排查
Cwillchris的博客
08-04 901
黑客入侵系统后一般会将系统日志清空,以达到清理痕迹的作用,如果日志被黑客清空我们就无法通过日志来分析黑客入侵系统后都做了哪些事情,在很多情况下黑客在清理日志的时候都会忽略内存中的日志。将本次登录的命令写入命令历史文件中,命令不是使用了就立即写入到文件中的,会现在缓存中,用户退出登录时会自动写入文件,-w 命令可以立即写入,-c 命令可以清除当前缓存中的命令。创建),但若失败(例如在系统启动早期"/var"尚未挂载),则转而保存在 /run/log/journal 目录中(将会被自动按需创建)。...
高级蓝队溯源手册(实战指南)
03-11
背景: 授权授权攻防演练过程中,攻击者千方百计使用各种方法渗透目标。一般情况下攻击链包括:侦察、武器化、交付、利用、安装、命令和控制、窃取目标数据。在溯源中,安全人员对攻击者某个阶段的攻击特点进行分析,再结合已掌握的威胁情报数据将攻击特点和数据聚类,能够有效掌握攻击者的攻击手法和 IP 、域名资产等。 目标: 掌握攻击者的攻击手法(例如:特定木马、武器投递方法); 掌握攻击者的 IP域名资产(例如:木马 C2、木马存放站点、资产特点); 掌握攻击者的虚拟身份、身份; 掌握攻击者武器的检测或发现方法,将捕获的数据形成新的线索。 方法论: 针对交付、利用、安装、命令和控制四个阶段捕获到的数据做深度分析,聚类提取数据特点形成规则。将规则应用于一些安全设备产出高可信度的告警用于防御,或者结合情报数据(如样本信息、域名信息、IP 信息等),将深度溯源的情报(如身份信息、攻击队伍等)产出。 1. 攻击链部分可溯源的关键点: 图片 2. 攻击链利用阶段可溯源的方法及利用点: 图片 攻击回溯的关键点主要分为两类: 攻击分类:根据攻击者的漏洞利用数据包特点(如:字符串格式、特殊字符串)
Linux 应急响应-溯源-系统日志排查
weixin_44143876的博客
01-24 1728
Linux 应急响应-溯源-系统日志排查
溯源(三)之Linux-入侵排查
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
03-23 1400
etc/passwd 是我们在排查Linux系统异常账号时需要去排查的,在排查异常账号时要注意异常账号的uid是不是0,因为攻击者常常会把新增加的账号uid设为0,以此来获得同root用户相同的权限,同时nologin也是我们需要重点排查的一个地方,nologin代表用户从来没有登陆过,如果出现了其他的,需要注意一下。由于操作系统的不同,Windows是图形化的界面,而Linux是命令行的界面,在Linux系统中,如果我们要去入侵排查,筛选,也只能用命令去执行。这样可以查看日志文件中最多的IP。
应急响应-Linux常用应急溯源命令
lza20001103的博客
08-28 774
Linux常用应急溯源命令 文章目录Linux常用应急溯源命令常用命令1、账号相关命令2、程序相关命令3、日志相关命令3.1 定位爆破root帐号来源IP3.2 查询登录成功的IP3.3 查询增加用户日志3.4 查询删除用户日志3.5 查询su切换用户记录4、定时任务5、文本相关5.1grep查找前后数据5.2显示文件几行6、其他相关6.1查看最近改动的各类脚本文件和其他文件6.2域名hosts 常用命令 1、账号相关命令 1、查询特权用户特权用户(uid 为0):awk -F: ‘$3==0{print
Linux应急响应学习
虚幻私塾
08-28 379
以空格作为分隔符,来将用户名和ip进行提取(用户登录失败的信息)通过在目录下/secure* 来查看登录的日志。通过grep 来将登录失败的用户过滤出来。
Linux溯源技巧
zizizizizi_的博客
03-15 3631
一.溯源的思路 看对方的目标,最终的目的是什么,根据自己的能力看实现这个目标需要哪些操作,看这些操作过程中存在着那些日志 入手点 1.网站源码 2.日志分析 3.系统存储信息分析 4.分析进程端口 二.网站源码分析 分析网站源码可以帮助我们获取网站被入侵时间, 黑客如何的 IP, 等信息, 对于接下来的日志分析有很大帮助。 1.查杀后门 可以使用 D 盾查杀是否存在网站后门,如果存在 webshell,记录下该 webshell 的信息。 找到 webshell 后,就可以根据该文件的路径,在日志
Capstone-Engagement-Project:红队vs蓝队实践
04-18
顶峰订婚项目 红队vs蓝队练习。 该项目将带您进入一个旅程,在旅程中,您将了解Red Team攻击和Blue Team首先监视如何采取适当措施以缓解当前漏洞。 您在哪支球队上? JK Blue Team一路走好!
awesome-cybersecurity-blueteam-cn:网络安全 · 攻防对抗 · 蓝队清单,中文版
04-14
本项目基于,经过蹩脚的翻译和一些补充,旨在帮助以中文为母语的安全研究者更好地了解蓝队工作,以及便利地找寻蓝队工具。 非常感谢原作者的整理,对于我这个蓝队的入门学习者来说,帮助非常大。也希望自己的一点点...
溯源系列:溯源案例二(2022实战 - 记一次Everything服务引发的蓝队溯源以及Everything后渗透的利用简介)
01-08
溯源系列:溯源案例二(2022实战 - 记一次Everything服务引发的蓝队溯源以及Everything后渗透的利用简介)
competition-scripts:我为蓝队比赛编写的各种脚本
03-07
比赛脚本 我为蓝队比赛编写的各种脚本
linux日志溯源,Linux用户历史行为的追溯方法
weixin_30216901的博客
05-02 1103
1./var/account/pacct文件(非文本文件,每天1个保留7天轮替时间为每日4:02)用于查找由于用户操作而引发的系统或应用的故障原因。linux默认不启动该进程统计程序。但只要系统负荷和系统硬盘空间允许,可以使用该日志文件。启动进程统计程序的命令:accton /var/account/pacct停止进程统计程序的命令: acctonpacct日志文件记录了历史上曾经发生过的所有用...
展会邀请 | 龙智即将亮相2024上海国际嵌入式展,带来安全合规、单一可信数据源、可追溯、高效协同的嵌入式开发解决方案
weixin_49715102的博客
06-09 906
凭借在DevSecOps领域的深厚积累,龙智在全球范围内遴选优秀的专业工具,为嵌入式开发行业打造了专属的嵌入式开发解决方案,并提供专业咨询、方案定制、实施部署、专业培训、定制开发等一站式服务支持。等全球专业工具,覆盖嵌入式软件单元测试、静态代码分析、需求管理、版本控制、生命周期管理及项目管理、知识库管理等领域,助力企业实现安全合规、可追溯、单一可信数据源、高效协同的嵌入式开发。并且嵌入式系统往往非常复杂,需要全面的测试覆盖、高效的测试执行,才能确保系统的可靠性和正确性,以及产品的及时交付。
《软件定义安全》之八:软件定义安全案例
最新发布
大龄IT民工
06-13 985
Embrane是一家虚拟设备提供商,由Cisco公司前员工创立,该公司致力于实现网络功能实体的软件化,旨在研发出多服务、分布式软件架构的网络服务产品。它于2015年4月被Cisco公司收购。Embrane的软件定义架构称为Heleos,利用虚拟通信设备代替原有基于专有硬件平台的设备,通过一个集中的控制台对虚拟设备进行管理和控制。Heleos与原来的应用交付网络(ADN)产品较为接近,是基于软件的L4~L7虚拟设备,包括负载均衡产品、防火墙、VPN产品和SSLOffload Engine。
NTFS安全权限
2302_80097039的博客
06-12 508
NTFS权限是基于。
电子电气架构 ---车载安全防火墙
Soly_kun的博客
06-09 727
车载诊断安全
上心师傅的思路分享(三)--Nacos渗透
weixin_72543266的博客
06-10 928
Nacos 是阿里巴巴推出来的一个开源项目,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。但是Nacos是部署在内网的,因此下面通过语法搜索出来的可以看到的,一般会做访问限制的,正常是访问不到的,如果可以访问就可以尝试是否存在漏洞了.当然如果直接在真实环境下测试,一是未授权行为,二是不容易找到复现环境,所以在本地搭建环境来进行复现是最安全,也是最容易。
渗透测试之内核安全系列课程:Rootkit技术初探(三)
fearhacker的专栏
06-08 947
相应的,每个进程,都会存在一个页目录表),1024MB = 1 GB;GDT 全局描述符表、LDT 局部描述符表、GDTR 全局描述符表 寄存器、LDTR 局部描述符表 寄存器 、一致性代码、非一致性代码、实模式、保护模式、线性地址。在 Intel 系列的 芯片中,存在专门的电路,负责将虚拟地址(线性地址)转译为内存物理地址!目前这块,笔者本人,也需要更加深入的理解,也许以后,会涉及到对这方面的更详细讲解 )。想要免杀,需要了解的安全技术知识包括软件加壳、代码混淆(例如,使用花指令)、隐匿技术(例如,
2022护网蓝队排名
07-27
护网蓝队排名是指在网络安全竞赛或演练中,参与者根据其在攻防对抗中的表现和得分进行排名。根据提供的引用内容,没有提到2022年的护网蓝队排名。因此,无法提供关于2022年护网蓝队排名的具体信息。 #### 引用[.reference_title] - *1* [红蓝对抗-2022年蓝队初级护网测试总结](https://blog.csdn.net/lza20001103/article/details/126550377)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [2022年蓝队初级护网总结](https://blog.csdn.net/zlloveyouforever/article/details/125174473)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值