![](https://img-blog.csdnimg.cn/direct/49651e4a62da40ba9cef4f4d3e8536e0.jpeg?x-oss-process=image/resize,m_fixed,h_224,w_224)
应急响应-蓝队
文章平均质量分 83
指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全。网络安全应急响应主要是为了人们对网络安全有所认识、有所准备,以便在遇到突发网络安全事件时做到有序应对、妥善处理。
++
计算机专业24年应届生,爱好自学与笔记总结,喜欢分享,潜心学习,虚心求教,欢迎指点,希望能认识到新朋友!
展开
-
8、应急响应-战前溯源反制&主机蜜罐系统&HFish&HIDS&Elkeid&Wazuh
攻击者对服务器存在着各种威胁行为,作为安全人员,可以在受到攻击前提前部署好蜜罐-Hfish系统或HIDS-Wazuh系统,又或是HlDS-Elkeid系统,诱捕攻击者并进行溯源分析。通过在蜜罐系统中部署诱饵,安全人员可以了解攻击者的行为和攻击手段,为溯源反制提供依据。原创 2024-01-31 16:40:56 · 1646 阅读 · 0 评论 -
7、应急响应-战中溯源反制&对抗上线&蚁剑&CS&Goby&Sqlmap等安全工具
黑客一般会用到工具Sqlmap,Goby等对目标网站的现有资产做批量扫描和测试,同时也会利用Web应用漏洞上传后门来上线肉机,用到工具例如:蚁剑,CS等,那么作为蓝队应急人员,就可以针对这些行为采取反制手段。命令管道符:ping "`dir`" , linux系统执行该命令时,管道符中的字符串被当作命令执行。原理:蓝队在红队攻击目标上写一个特殊文件,红队用goby扫描分析时会触发反制被蓝队拿到机器权限。同样以上命令在红队攻击机执行时,参数b管道符中的字符串会被当做命令执行。原创 2024-01-29 22:22:44 · 2688 阅读 · 0 评论 -
6、应急响应-日志自动提取&自动分析&ELK&Logkit&LogonTracer&Anolog等
自动提取日志文件的工具使用,自动分析日志的工具和脚本使用,由于日志文件数量过多,内容也多,人工分析过于繁琐,此时日志提取工具和日志自动分析工具的使用就会省时省力,同时也能为人工分析提供参考价值,提高效率。原创 2024-01-28 15:09:16 · 1333 阅读 · 0 评论 -
5、应急响应-拒绝服务&钓鱼识别&DDOS压力测试&邮件反制分析&应用日志
了解和分析应用日志,识别钓鱼邮件并溯源反制,DDOS攻击与CC攻击的测试和防御CC攻击(即“拒绝服务攻击”的一种攻击形式)是一种通过向目标服务器发送大量请求来使其无法正常工作的攻击方式。攻击者通常使用大量的计算机或者僵尸网络来发起攻击,从而使目标服务器的带宽、CPU或内存等资源被耗尽,导致服务器无法正常响应请求。CC攻击是一种常见的网络攻击方式,可以对网站、应用程序、网络服务等造成。DDOS攻击是一种通过向目标服务器或网络发送大量流量或请求来使其无法正常工作的攻击方式。原创 2024-01-27 21:16:19 · 729 阅读 · 0 评论 -
3、应急响应-挖矿病毒脚本检测与清除&样本定性&入口修复
Virustotal 深信服威胁情报中⼼, 微步在线 ,venuseye, 安恒威胁情报中⼼ ,360威胁情报中⼼, 绿盟威胁情报中⼼, AlienVault ,RedQueen安全智能服务平台, IBM X-Force Exchange ,ThreatMiner。原创 2024-01-25 21:53:08 · 814 阅读 · 0 评论 -
4、应急响应-勒索病毒检测&Win&Linux虚拟机勒索病毒演示与影响&&家族识别&解密工具
勒索病毒是一种新型电脑病毒,主要以RDP爆破、钓鱼邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。原创 2024-01-26 16:32:44 · 1561 阅读 · 0 评论 -
2、应急响应-后门入侵检测&Rookit&权限维持后门&内存马
不同后门类型:(1)、主机系统常规后门,例如:MSF远控木马,CS免杀后门(2)、权限维持后门,例如:linux系统的Rookit后门(3)、Web程序后门及内存马原创 2024-01-23 16:05:23 · 575 阅读 · 0 评论 -
1、应急响应-网站入侵检测&访问日志&漏洞排查&Webshell内存马查杀
针对网页篡改与Web后门攻击应对措施:基于客户反映的情况,我们拿到的信息可能是时间、漏洞,也可能什么也没有。如果有大概时间信息,那么可以通过时间筛选日志,看IP、请求地址、UA头、响应码等定位攻击,再锁定该IP看有无其他行为如果只知道框架信息,那么就根据框架可能存在的漏洞,复现一遍,查看新产生的日志拿到攻击指纹信息,然后以此筛选日志,定位攻击如果没有任何信息,那么先使用后门查杀工具锁定后门,看哪个IP在访问该后门,然后针对该IP筛选日志,定位攻击原创 2024-01-22 14:19:57 · 1201 阅读 · 0 评论 -
网站服务常用中间件-日志文件存放目录&IIS&Apache&Tomcat&Nginx&Weblogic&Jboss
用户每打开一次网页,服务中间件日志都会记录用户IP、访问的网页地址、访问时间、访问状态等信息,这些信息保存在 服务中间件日志文件里,方便网站管理员掌握网页被访问情况和 服务器运行情况原创 2024-01-21 15:58:16 · 2123 阅读 · 0 评论