第一部分 网络安全事件响应

最新推荐文章于 2024-05-29 11:19:45 发布
最新推荐文章于 2024-05-29 11:19:45 发布
阅读量747 收藏 11
点赞数 6
分类专栏: 2023年福建省职业院校技能大赛高职组信息安全管理与评估 文章标签: web安全 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_45155797/article/details/135027388
版权

A集团的WebServer服务器被黑客入侵,该服务器的Web应用系统被上传恶意软件,系统文件被恶意软件破坏,您的团队需要帮助该公司追踪此网络攻击的来源,在服务器上进行全面的检查,包括日志信息、进程信息、系统文件、恶意文件等,从而分析黑客的攻击行为,发现系统中的漏洞,并对发现的漏洞进行修复。

提交攻击者的 IP 地址。
识别攻击者使用的操作系统。
找出攻击者资产收集所使用的平台。
提交攻击者目录扫描所使用的工具名称。
提交攻击者首次攻击成功的时间,格式:DD/MM/YY:HH:MM:SS。
找到攻击者写入的恶意后门文件,提交文件名(完整路径)和后门密码。
找到攻击者隐藏在正常 web 应用代码中的恶意代码,提交该文件名(完整路径)。
识别系统中存在的恶意程序进程,提交进程名。
找到文件系统中的恶意程序文件并提交文件名(完整路径)。
简要描述该恶意文件的行为。

1.提交攻击者的 IP 地址

awk -F " " '{print $1}' access.log.1 | sort | uniq -c


答案:192.168.1.7

2.识别攻击者使用的操作系统

cat access.log.1 | grep 192.168.1.7 | grep -i "windows\|linux"


答案:Linux x86_64

3.找出攻击者资产收集所使用的平台


答案:shodan

4.提交攻击者目录扫描所使用的工具名称

awk -F  " " '{print $(NF-0)}' access.log.1 | sort | uniq -c


答案:DIRSEARCH

5.提交攻击者首次攻击成功的时间

grep -a "whoami" -C 5 access.log.1


答案:24/Apr/2022:15:25:53

6.找到攻击者写入的恶意后门文件,提交文件名(完整路径)和后门密码

find / -name "*.php" | xargs grep "system(\$_\|eval(\$_"


答案:/var/www/html/data/avatar/1.php:2022

7.找到攻击者隐藏在正常web应用代码中的恶意代码,提交该文件名

find / -name "*.php" | xargs grep "system(\$_\|eval(\$_"


答案:/var/www/html/footer.php

8.识别系统中存在的恶意程序进程,提交进程名

crontab -l


答案:prism

9.找到文件系统中的恶意程序文件并提交文件名(完整路径)

/root/.mal/prism


答案:/root/.mal/prism

10.简要描述该恶意文件的行为

./prism Inf0


答案:在系统中静默执行,等待来自攻击者的 ICMP 数据包,该数据包包含要回连的主机、端口和密钥,被激活后将/bin/sh 回连到主机指定端口,供攻击者执行命令。

Wh1teSu
关注
  • 6
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
网络安全事件应急响应实战一
悦分享
09-13 3683
这种划分方法也称PDCERF方法。
2023年网络安全比赛--网络安全事件响应中职组(超详细)
Aluxian_的博客
03-16 5813
1.找出黑客植入到系统中的二进制木马程序,并将木马程序的名称作为Flag值(若存在多个提交使用英文逗号隔开,例如bin,sbin,…5.找出系统中的弱口令账号,将该账号的用户名及密码作为Flag值(用户名和密码之间用英文冒号隔开,例如:root:toor)提交。2.找出被黑客修改的系统默认指令,并将被修改的指令里最后一个单词作为Flag值提交;4.找出被黑客修改的服务配置文件,将文件的md5值前四位作为Flag值提交;3.找出被黑客替换的系统指令,并将其绝对路径作为Flag值提交
网络安全应急响应服务方案.docx
06-09
应急响应服务方案 目录 一、 项目技术方案 1 1.1、 应急响应服务 1 1.1.1、 服务内容 1 1.1.2、 服务方法 3 1.1.3、 交付成果 17 1.1.4、 服务优势 18 1.1.5、 服务范围 20 1.1.6、 服务案例 21 项目技术方案 应急响应服务 服务内容 服务简介 我司应急响应服务是我司推出的以"安全第一"为指导原则,积极开展网络安全事件的预防、发现、预警和协调处置等工作的安全服务。我司应急响应通过制定集团级应急响应机制,协同集团营销、媒体等15个部门联合开展的应急处置工作,后端以高效的应急响应系统IT平台以及遍览全国安全事件的应急响应监控指挥调度中心作为支撑。为在发生安全事件时,第一时间作出有效决断提供了强大的后台保障。 我司应急响应服务,以"快速响应、力保恢复"为行动指南,致力于成为网络安全领域的120急救中心,通过在遇到突发安全事件后采取专业的安全措施和行动,并对已经发生的安全事件进行监控、分析、协调、处理、保护资产等安全属性的工作,保障企业用户的网络安全,最大程度的减少安全事件所带来的经济损失以及恶劣的社会负面影响。 服务目标 应急响应服务目标旨在: 帮助客户及时控制安全事件对企业造成的恶劣影响,将经济损失降到最低。 减少因安全事件发生所产生的社会负面影响,保障网络生态安全。 服务价值 系统地响应安全事件,以采取适当的步骤; 帮助客户迅速有效地从安全事件中恢复过来,并将信息丢失和被盗以及服务被破坏的程度降到最低; 利用从安全事件处理过程中获得的信息做好更充分的准备,以处理未来的安全事件并对系统和数据进行更强的保护; 建立安全事件响应机制协同建立有效的防御政策来抵制信息安全威胁; 降低安全运营成本,提高企业信息业务发展安全竞争力。 服务方法 准备阶段(Preparation) 目标:在事件真正发生前为应急响应做好预备性的工作。 角色:指挥人员、一线应急人员、营销人员、媒体宣传人员、监测与响应中心人员、战略推进人员。 内容:根据不同角色准备不同的内容。 组织研判 根据事件研判规则,对事件进行研判,确定事件预案等级 统一指挥 制定工作方案和应急响应计划; 提供人员和物质保证; 监督应急响应计划的执行; 指导应急响应实施小组的应急处置工作; 启动定期评审、修订应急响应计划以及负责组织的外部协作。 应急人员准备工作 一线应急人员准备内容 服务需求界定 首先要对服务对象的整个信息系统进行评估,明确服务对象的应急需求,具体包含以下内容: 应急响应小组应了解应急服务对象的各项业务功能及其之间的相关性,确定支持各种业务功能的相关信息系统资源及其他资源,明确相关信息的保密性、完整性和可用性要求; 对服务对象的信息系统,包括应用程序,服务器,网络及任何管理和维护这些系统的流程进行评估,确定系统所执行的关键功能,并确定执行这些关键功能所需要的特定系统资源; 应急响应小组采用定性或定量的方法,对业务中断、系统宕机、网络瘫痪等突发安全事件造成的影响进行评估; 应急响应小组协助服务对象建立适当的应急响应策略,应提供在业务中断、系统宕机、网络瘫痪等突发安全事件发生后快速有效的恢复信息系统运行的方法; 应急响应小组为服务对象提供相关的培训服务,以提高服务对象的安全意识,便于相关责任人明确自己的角色和责任,了解常见的安全事件和入侵行为,熟悉应急响应策略。 工具包的准备 应急服务提供者应根据应急服务对象的需求准备处置网络安全事件的工具包,包括常用的系统基本命令、其他软件工具等; 应急服务提供者的工具包中的工具最好是采用绿色免安装的,应保存在安全的移动介质上,如一次性可写光盘,防篡改、加密的U盘等; 应急服务提供者的工具包应定期更新、补充; 必要技术的准备 上述是针对应急响应的处理涉及到的安全技术工具涵盖应急响应事件取样、事件分析、事件隔离、系统恢复和攻击追踪等各个方面,构成了网络安全应急响应的技术基础。所以我们的应急响应服务实施成员还应该掌握以下必要的技术手段和规范,具体包括以下内容: 系统检测技术,包括以下检测技术规范: Windows系统检测技术规范; Unix系统检测技术规范; 网络安全事故检测技术规范; 数据库系统检测技术规范; 常见的应用系统检测技术规范; 攻击检测技术,包括以下技术: 异常行为分析技术; 入侵检测技术; 安全风险评估技术; 攻击追踪技术; 现场取样技术; 系统安全加固技术; 攻击隔离技术; 资产备份恢复技术; 营销人员准备内容 和服务对象建立长期友好的业务关系; 和服务对象签订应急服务合同或协议; 建立预防和预警机制,及时上报。 预防和预警机制 市场人员要严格按照应急响应负责人的安排和建议,及时提醒服务对象提高防范网络攻击、病毒入侵、网络窃密等的能力,防止有害信息传播,保障服务对象网络安全
2023“信息安全管理与评估”第二阶段十套公开题汇总(部分
m0_64506623的博客
03-13 1063
“evidence 10”,有文本形式也有图片形式,不区分大小写),请提取和固定比赛要求的标的证据文件,并按样例的格式要求填写相关信息,证据文件在总文件数中所占比例不低于 15%。取证的信息可能隐藏在正常的、已删除的或受损的文件中,您可能需要运用编码转换技术、加解密技术、隐写技术、数据恢复技术,还需要熟悉常用的文件格式(如办公文档、压缩文档、图片等)请提交攻击者攻击成功的第一时间,格式:YY:MM:DD hh:mm:ss。请提交攻击者攻击成功的第一时间,格式:YY:MM:DD hh:mm:ss。
(2022年)山东省职业院校技能大赛高职组信息安全管理与评估 竞赛试题 第一阶段竞赛项目试题 根据信息安全管理与评估技术文件要求,第一阶段为网络平台搭建与网络安全设备配置
qq_45824192的博客
03-05 948
13 使用Wireshark并分析capture.pcapng数据包文件,这些数据中有ssh报文,由于ssh有加密功能,现需要将这些加密报文的算法分析出来,将ssh服务器支持的第一个算法的密钥长度作为Flag值提交。11 使用Wireshark分析capture.pcapng数据包文件,这些数据中有非常多的ICMP报文,这些报文中有大量的非正常ICMP报文,找出类型为重定向的所有报文,将报文重定向的数量作为Flag值提交。flag格式:flag{报文数量}flag格式:flag{}
网络安全应急响应(归纳)
热门推荐
只有不断学习才不会被茫茫人海淹没!
06-09 1万+
1、概念 应急响应是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全。主要是为了人们对网络安全有所认识、有所准备,以便在遇到突发网络安全事件时做到有序应对、妥善处理。 2、PDCERF(6阶段) a.准备阶段:预防为主,例如扫描、风险分析、打补丁等。简历监控措施、简历数据汇总分析体系、制定能够实现应急响应目标的策略和规程,建立信息沟通渠道,建立能够集合起来处理突发事件的体系。 b.检测阶段:检测事件是已经发生的还是正在进行中的,以及事件产生的原因。确定事件性质和影响的严重程度,以
信安软考 第十七章 网络安全应急响应技术原理与应用
梦想不是挂在嘴边炫耀的空气,而是需要认真实践,等到对的风,就展翅翱翔!
10-18 1316
网络安全应急响应是指为应对网络安全事件,相关人员或组织机构对网络安全事件进行监测、预警、 分析、响应和恢复等工作网络安全应急响应网络空间安全保障的重要机制,《中华人民共和国网络安全法》(第五章监测预警与应急处置)中明确地给出了相应的法律要求。
网络安全应急响应具体操作流程
maoguan121的博客
07-24 2224
标识信息系统的资产价值,识别信息系统面临的自然的和人为的威胁,识别信息系统的脆弱性,分析各种威胁发生的可能性。 风险评估具体内容见GB/T 20984-2007的第5章风险评估实施和第6章信息系统生命周期各阶段的风险评估。...
信息安全-网络安全应急响应技术原理与应用(一)
我的个人博客
09-13 3568
网络安全应急响应概述、网络安全应急响应组织建立与工作机制、网络安全应急响应预案内容与类型、常见网络安全应急事件场景与处理流程
2023年中职网络安全技能竞赛网络安全事件响应解析(保姆级)
旺仔Sec&blog
01-07 4271
2023年中职网络安全技能竞赛网络安全事件响应解析(保姆级)
奇安信:95015网络安全应急响应分析报告(2023)
01-25
严重缺乏最基本的网络安全基础设施建设,缺乏最基本的网络安全运营能力,是当前国内绝大多数政企机构的通病。一方面,弱口令、永恒之蓝等基础漏洞仍然普遍存在,高危端口大量暴露;另一方面,仅有 13.6%的政企机构...
网络安全应急响应的各种场景及处置方式
03-18
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为...
网络安全事件通报制度.doc
06-09
网络安全事件通报制度 网络安全事件通报制度 第1条 网络安全事件定义以下: (1) 网络突然产生中断,如停电、线路故障、网络通讯装备破坏等。 (2) 本系统网络遭到黑客攻击,数据被歹意篡改、交互式栏目里发表有煽动...
可落地的安全事件管理规定.docx
04-18
第一条为规范信息安全事件的报告、处置、责任追溯、回顾和改进机制,明确信息安全事件的管理职责和流程,确保信息安全事件发生后能得到快速响应,将信息安全事件造成的损害降到最低,特制定本规定。 本规定适用于本...
网络安全应急响应(文末附应急工具)
mh007的博客
08-07 3989
网络安全应急响应是在特定网络和系统面临或已经遭突然攻 应急响应准备的工作内容主要有2个:一是对信息系统进行初始化的快照;二是准备应急响应工具包。在检测的时候将保存的快照与信息系统当前状态进行对比,是发现安全事件的一种重要途径。除对比系统初始化快照外,安全事件检测手段还包括部署入侵检测设备、流量监控和防病毒系统集中监控等。网络安全攻击事件可以分为拒绝服务类攻击、系统漏洞及恶意代码类攻击、网络欺骗类攻击、网络窃听类攻击、数据库SQL注入类攻击,针对每一类攻击事件都需制定相应的抑制与根除方法。.........
驾驭数字前沿--欧盟商会网络安全大会活动
SafePloy_SH的博客
05-24 363
SafePloy安策的首席安全顾问在会上做了《2024数据威胁报告主题报告》,并强调,“我们致力于成为企业数字化转型中的安全护航者,携手各行业伙伴,共同驾驭数字前沿的波涛,共创安全、合规、高效的数字未来。关于安策 SafePloy安策成立于2002年,一直专注于数据安全领域,无论是从软件世界的商业化保护、许可、交付,还是 人、设备、物连接网络空间的身份认证以及访问控制,再到数字时代的加密保护,按需加密和控制是我们一直以来秉持的服务理念。“在这个数据即资产的时代,了解并顺应各地的政策导向是企业成功的关键。
HFish蜜罐管理端搭建:构建网络安全的主动防御系统
weixin_43822401的博客
05-29 852
HFish是一款开源的蜜罐系统,它通过模拟各种网络服务和应用,吸引攻击者进行攻击,从而实现对攻击行为的捕获、分析和溯源。欺骗防御:通过模拟各种服务和应用,欺骗攻击者,转移攻击者的视线。主动防御:主动诱捕攻击者,收集攻击信息,为安全防护提供决策支持。溯源反制:通过技术手段,追踪攻击者的身份和来源,为反制提供依据。灵活部署:支持多种部署方式,包括单机部署、分布式部署等。
HFish蜜罐实践:网络安全防御的主动出击
weixin_43822401的博客
05-29 564
HFish蜜罐作为一种主动防御工具,通过模拟易受攻击的服务,吸引攻击者,不仅能有效捕获攻击行为,还能为安全分析和溯源提供宝贵信息。HFish蜜罐作为一种先进的网络安全防御工具,不仅能够有效地捕获和分析攻击行为,还能为安全专家提供攻击溯源的重要线索。为每个节点配置蜜罐服务,如FTP、SSH、Telnet等,这些服务作为诱饵,用于吸引并捕获攻击者的行为。收集所有连接和攻击节点的IP信息,通过分析这些信息,刻画攻击者画像,构建私有情报库。利用攻击者使用的工具漏洞,进行信息提取和溯源,确定攻击者的身份和来源。
网络安全】新的恶意软件:无文件恶意软件GhostHook正在广泛传播
最新发布
par@ish的博客
05-29 747
利用系统工具:它利用操作系统的内置工具或管理脚本,例如PowerShell、Windows Script Host (wscript/wsh)、Mshta.exe等,这些工具通常无需额外下载文件即可执行复杂的命令和脚本,为恶意行为提供了便利。持久化机制:虽然名为“无文件”,但无文件恶意软件可能会通过修改注册表项、设置计划任务或利用合法服务来实现自身的持久化,确保即使系统重启也能继续存在。隐蔽性高:由于缺乏明显的文件痕迹,无文件恶意软件极难被发现,对传统的基于文件的防护措施构成了挑战。
给我写一篇网络安全应急预案
09-16
网络安全应急预案1. 建立网络安全政策:明确公司对网络安全的要求,制定有助于保护公司信息的各项措施。2. 加强网络安全管理:建立一套完善的网络安全管理制度,加强对网络安全的监督管理。3. 定期审计:定期审计网络系统,发现安全漏洞及时进行处理,以保证网络安全。4. 培训员工:对员工进行网络安全意识培训,提高员工对网络安全的认知程度。5. 建立应急预案:建立应急处理预案,在发生网络安全事件时,及时采取有效措施,减少安全损失。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Wh1teSu

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值