上机排查可疑进程

于 2024-03-05 10:42:57 发布
阅读量317 收藏 6
点赞数 8
分类专栏: 蓝队寄巧 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65267037/article/details/136472147
版权
本文介绍如何在接收到安全设备的五元组告警后,针对Windows和Mac系统,使用netstat和lsof等工具查找引发告警的进程,以便于故障排查和安全分析。
摘要由CSDN通过智能技术生成

可能大家在看到一些安全设备的五元组告警信息时有些摸不着头脑,只看这些东西怎么能判断这个终端上有没有马子呢,所以只能上机排查了。

但是到机器上又该怎么查看是哪个进程触发了那个告警呢,这里主要介绍一下排查方法,比如设备给出了下面的告警信息

五元组信息

源IP源端口目的IP目的端口协议
192.168.1.260619111.111.111.11139472http

Windows 机器

  1. 找到对应内网IP的机器,这个需要公司有IT管理能力,可以定位机器到个人
  2. 在 192.168.1.2 这个机器上执行 netstat -ano | findstr "60619" 查看对应 http 协议的进程的PID,这里假设 PID=21068
  3. 需要的话可以使用 findstr /v "127.0.0.1" | findstr /i "established" 过滤掉机器本身的回环通信,便于分析,毕竟对其他机器的通信在本地通信一栏使用的都是局域网地址
  4. 执行 tasklist /fi 'PID eq 21068' 即可锁定对应的应用程序

在这里插入图片描述

Mac 机器

  1. 与 Windows 相比 Mac 就有些恶心了,因为不同版本的 Mac 相关命令的参数可能还不一样
  2. 由于财力问题,我这里只提供在我机器上验证通过的命令 lsof -i -P -n | grep '51049'

在这里插入图片描述

水南山
关注
  • 8
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Windows手工入侵排查思路
04-13 4295
Windows系统被入侵后,通常会导致系统资源占用过高、异常端口和进程可疑的账号或文件等,给业务系统带来不稳定等诸多问题。一些病毒木马会随着计算机启动而启动并获取一定的控制权,启动方式多...
Windows系统病毒木马排查清除方法
yeyiboy的博客
05-05 2112
Windows: 1. 检测本地网络连接,cmd下netstat-ano这个可以显示所有的网络连接,还有PID值,在任务管理器中可以对照响应的PID值进行查看相应的进程。 2. 用户检查,打开“我的电脑”-->“管理”-->“计算机用户和组”查看是否有多余用户,管理员组都是那些用户,这些用户是否安全。 3. 查看服务选项,cmd中servisces.msc打开服务面板,查看状态为“开启的服务”排除正常服务,寻找是否有可疑服务。 4. 检查系统中拥有启动方式的文件,system.ini和w.
上机排查动作
tlucky的博客
04-08 295
主机,服务器经常遭到攻击,怀疑受到攻击后可以进行排查,检查系统账号与安全,检查端口、进程是否异常,检查启动项、计划任务、服务,检查系统相关信息、自动化查杀、进行日志分析
Liunx应急上机排查脚本
Delphinidae
06-27 671
应急排查 建议先清除计划任务、启动项、守护进程,再清除恶意进程。 应急排查收集常见信息脚本 #!/bin/bash #Liunx 应急响应上机信息收集 #应急清理:建议先清除计划任务、启动项、守护进程,再清除恶意进程。 # busybox 安装 #yum -y install wget make gcc perl glibc-static ncurses-devel libgcrypt-devel #wget http://busybox.net/downloads/busybox-1.33.0.tar.
windows系统入侵排查思路
剁椒鱼头没剁椒的博客
06-21 4606
windows系统服务器入侵排查的思路
网络安全应急响应----2、Windows入侵排查
七天
03-17 5854
文章目录一、系统排查1、系统信息2、​​用户信息3、启动项4、计划任务5、服务自启动二、进程、端口排查1、进程排查2、端口排查三、文件痕迹排查1、敏感目录文件2、基于时间点查找四、日志分析1、系统日志2、安全性日志3、应用程序日志五、内存分析六、流量分析 一、系统排查 1、系统信息 //可以显示本地计算机的硬件资源、组件、软件环境、正在运行的任务、服务、系统驱动程序、加载模块、启动程序等。 C:\Users\test>msinfo32 //Microsoft系统信息工具:Msinfo32.
linux和windows木马排查思路
qq_40770143的博客
10-23 2317
一般常见的黑客入侵途径 1、主机远程连接端口暴露在互联网并存在弱口令,被黑客暴力破解后获取主机权限。 2、主机部署数据库后连接端口暴露互联网,数据库账号弱口令,被黑客入侵数据后提权获取主机权限。 3、部署业务存在应用漏洞,被黑客利用植入webshell,控制主机。 一、windows系统排查木马处理流程: 1、procexp.exe 开启virtual在线查杀,发现木马进程。 2、procexp....
应急响应处置现场流程 - 系统排查04
战神/calmness的博客
02-11 2247
在日常工作中遇到更多的是在事件发生后进行的问题排查及溯源。常见网络安全应急响应场景有勒索病毒、挖矿木马、Webshell、网页篡改、DDoS攻击、数据泄露、流量劫持; 在现场处置过程中,先要确定事件类型与时间范围,针对不同的事件类型,对事件相关人员进行访谈,了解事件发生的大致情况及涉及的网络、主机等基本信息,制定相关的应急方案和策略。随后对相关的主机进行排查,一般会从系统排查进程排查、服务排查、文件痕迹排查、日志分析等方面进行,整合相关信息,进行关联推理,最后给出事件结论。 排查 系统排查:在.
Linux-挖矿木马清理
rendongxingzhe的博客
11-22 1556
Linux安全-挖矿防护
操作系统上机-进程调度
05-08
本篇将深入探讨“操作系统上机-进程调度”的相关知识点。 1. **进程与线程** - **进程**:是程序在执行过程中的一个实例,具有独立的内存空间,包括代码段、数据段和栈段。 - **线程**:是进程内部的执行单元,...
Linux进程管理(含上机实例)
01-09
作业控制上机任务:进程管理任务一、任务调度任务二、进程管理 进程管理 知识点 ​ 为了协调多个进程对各种计算机共享资源的访问,操作系统要跟踪所有进程的活动,以及它们对系统资源的使用情况,从而实施对进程和...
操作系统上机实验报告 进程同步和通信-生产者和消费者问题模拟
07-18
4) 在原来程序的基础上,加入缓冲区的写互斥控制功能,模拟多个进程存取一个公共缓冲区,当有进程正在写缓冲区时,其他要访问该缓冲区的进程必须等待,当有进程正在读取缓冲区时,其他要求读取的进程可以访问,而...
操作系统上机实验一进程调度算法.docx
05-30
【操作系统上机实验一进程调度算法】 实验报告的标题揭示了本次实验的核心——研究和实现操作系统中的进程调度算法。进程调度是操作系统内核的关键部分,它决定了如何在多任务环境中公平且有效地分配CPU时间。本...
进程管理实验上机报告
11-18
在实验“上机2:进程管理”中,可能需要通过编写实际的代码来实践这些理论知识。例如,可以创建多个线程模拟并发访问共享资源,并使用P-V操作或其他Windows同步机制来确保资源的正确访问。同时,通过观察和分析程序...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8307
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
数字化转型背景下的企业数据资产管理两份文件.pptx
07-02
数字化转型背景下的企业数据资产管理两份文件.pptx
C#输出所有排列组合代码正确例题.txt
07-02
C#输出所有排列组合代码正确例题
SM2259三星512Gsata M2固态量产工具,MT29F512G08EBLDE,59XIB37D-512VO
最新发布
07-02
颗粒型号含MT29F512G08EBLDE或FWNSS59XIB37D-512VO
C语言100道上机试题.doc
11-29
"C语言100道上机试题.doc" 在C语言中,这100道上机试题涵盖了各种核心概念和技能,包括数据处理、条件判断、循环控制、函数设计以及数值计算等。以下是其中几道题目涉及的知识点: 1. 去除偶数位数字 - 在第一个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值