绿盟应急响应团队

最新推荐文章于 2024-09-06 14:33:08 发布
最新推荐文章于 2024-09-06 14:33:08 发布
阅读量240 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74079109/article/details/127662983
版权
本文详述了一起因Redis未授权访问漏洞引发的网络安全事件,攻击者利用漏洞控制服务器并进行内网渗透。建议企业加强口令管理,限制Redis外部访问,定期备份数据,并采取其他安全措施,如态势感知平台部署,提高安全防护能力。
摘要由CSDN通过智能技术生成
结论建议

结论:
\1. 攻击者通过 ThinkPHP 远程命令执行漏洞获取了 web
shell,从而实现挂马。建议:

  1. 在不影响业务的前提下,更新 ThinkPHP 至最新版
    本;1. 部署安全设备
    ,如 WAF、IPS 等,用于阻断安全攻击;1. 定期对 WEB系统进行备份;
  2. ThinkPHP 漏洞分析:

入侵事件应急案例

  1. 背景介绍
    2019 年 08 月,客户收到信息安全邮件告警,内部主机(172.*.*.101)对堡垒机进行多次暴力破解。 排查发现该主机 /tmp 目录存在 frpc 等内网渗透工具,并且主机与公网 IP 地址建立了连接关系。因此, 管理员对该主机进行了紧急下线。
处置过程
  1. 与相关人员沟通得知,互联网无法直接访问到内部主机(172.*.*.101),因此怀疑存在其他主
    机被黑客当作跳板。通过查看内部安全设备,确认 08 月 07 日,仅(172. *.*.11)(172. *.*.59)(172. *.*.112)三台主机登录过(172. *.*.101),因此,对以上三台主机展开调查。
  2. 经过确认,(172. *.*.11、172. *.*.59)两台主机未发现异常,均为运维人员的正常操作,但在(172.
    *.*.112)主机 secure 日志中发现该主机 SSH服务被大量暴力破解,并且成功登录,源 IP为(172. *.*
最低0.47元/天 解锁文章
m0_74079109
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
应急响应】Windows应急响应手册(准备阶段、挖矿病毒)
做自己喜欢的事,并将其发挥到极致!
07-16 827
本篇文章主要以WIndows系统为例围绕红蓝对抗和攻防角度实施应急响应的技术手段,以多方面、多维度进行展开,对于常见的应急事件所采取的应对措施进行阐述,希望对从事网安工作的小伙伴们有所帮助!
绿盟安全事件响应观察及远程代码执行漏洞
m0_73803866的博客
11-03 924
北京时间 5 月 15 日,微软官方发布了 5 月安全更新补丁,此次更新共修复了 82 个漏洞,其中 Windows 操作系统远程桌面服务漏洞(CVE-2019-0708)威胁程度较高,攻击者可通过 RDP 协议向目 标发送恶意构造请求,实现远程代码执行,甚至可利用此漏洞实现蠕虫式攻击。这意味着,高危漏洞被利用的成本变低。中,弱口令事件占比 22%,钓鱼邮件相关事件占比 7%,配置不当事件占比 3%, 与人和管理相关的事件合计占总数的 1/3,安全管理薄弱、员工安全意识不足的问题最易遭到攻击者的利用。
(45.2)【端口漏洞发现】扫描工具Nmap、Nessus、Masscan、端口弱口令检查
05-02 6658
【专题】端口漏洞扫描工具
常用开源的弱口令检查审计工具
Marsal的博客
08-08 6979
常用的密码爆破工具
弱口令总结和爆破工具
m0_61869253的博客
09-18 230
网站管理、运营人员由于安全意识不足,为了方便、避免忘记密码等,使用了非常容易记住的密码,或者是直接采用了系统的默认密码等。攻击者利用此漏洞可直接进入应用系统或者管理系统,从而进行系统、网页、数据的篡改与删除,非法获取系统、用户的数据,甚至可能导致服务器沦陷。弱口令(weak password) 没有严格和准确的定义,通常认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为弱口令。
超级弱口令检查工具分享
tmyzxy1314的博客
10-31 1361
工具采用C#开发,需要安装.NET Framework 4.0,工具目前支持SSH、RDP、FTP、MySQL、SQLServer、Oracle、MongoDB、PostgreSQL、IMAP(支持SSL)、Memcached、Mongodb、POP3(支持SSL)、Redis、SMTP(支持SSL)、Telnet、VNC等服务的口令检查。优化程序,修复程序在server 03上出现错误的情况,检查RDP服务时,请调整线程在50个以下,否则可能出现程序卡死,不是线程多就一定快多少。
漏洞心脏滴血怎么回事/网络安全应急响应的新常态_新手漏洞自学
程序员六七的博客
07-11 607
新一代威胁不仅传播速度更快,其所利用的攻击面也越来越宽广,可以覆盖移动、桌面、网络、Web和各种应用、社交网络等。这样,一方面留给应急响应的时间
绿盟科技已经启动Spring Boot框架漏洞的应急响应
weixin_34130389的博客
09-01 608
2016年7月7日,唐朝实验室在乌云上提交Spring Boot框架存在SPEL表达式注入通用漏洞,缺陷编号为WooYun-2016-226888,威胁等级为【高】,攻击者可以远程代码执行。 2016年7月8日,向通报机构公开。 2016年7月11日,绿盟科技获取相关细节。 2016年7月12日,绿盟科技针对此漏洞启动中级应急响应。预计会在20...
绿盟科技应急响应中心安全研究员邓永凯:那些年,你怎么写总会出现的漏洞...
CSDN业界要闻
12-01 988
11月18号,2017看雪安全开发者峰会在北京悠唐皇冠假日酒店举行。来自全国各地的开发人员、网络安全爱好者及相应领域顶尖专家,在2017看雪安全开发者峰会汇聚一堂,只为这场“安全与开发”的技术盛宴。源代码作为软件的最初原始形态,其安全缺陷是导致软件漏洞的直接根源。与之相对的是,解决代码的完整性与安全性,实现安全编码也成为减少漏洞的根本解决办法。但让人无奈的是,在编写数量繁多且关系复杂的代码过程中,...
2024年信息安全管理与评估竞赛——网络安全应急响应案例①解题过程_受攻击的server服务器已整体打包成虚拟机文件保存(3)
2401_84558590的博客
05-05 446
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
读《Linux应急响应》笔记(未完待续)
qq_43710889的博客
12-06 1169
今天就想听着音乐,看看书。找到压箱底的《linux应急响应》看一看。还是蛮新的,是2021.7.1的新版。 文章目录思维导图挖矿事件恶意域名获取异常进程PID寻找恶意⽂件样本处理异常进程删除恶意文件善后处理 思维导图 挖矿事件 恶意域名 从内⽹dns服务器、 dns防⽕墙、流量审计设备等设备获取 根据域名确定⽊⻢类型 Virustotal 深信服威胁情报中⼼ 微步在线 venuseye 安恒威胁情报中⼼ 360威胁情报中⼼ 绿盟威胁情报中⼼ AlienVault RedQueen安全智能服务平台 IB
绿盟科技安全态势感知解决方案
weixin_33734785的博客
07-03 3697
信息安全目前越来越受到重视,“棱镜门”事件爆发后,信息安全不仅引起了企业领导的重视,更引起了国家领导人的广泛关注。在这种背景下,企业无论是出于对自身利益的考虑,还是对于社会责任的角度,都已经开始构建更为丰富的内部安全系统。 这些系统不仅涵盖基本的防火墙,入侵检测、防病毒;还包括目前主流的上网行为审计,堡垒机系统,数据库审计系统,网站防火墙系统;以及符合最...
【盖世汽车-注册安全分析报告】
09-02 1405
盖世汽车(上海盖世网络技术有限公司)是汽车产业专业的信息服务平台,为企业及行业人士提供一站式服务。
【精选】文件摆渡系统:跨网文件传输的安全与效率之选
文件数据安全交换
09-06 925
同时满足安全与效率兼顾的文件摆渡系统,那就是Ftrans飞驰云联的《Ftrans Ferry跨网文件安全交换系统》,这是一款由飞驰云联自主研发的安全产品,可以有效解决内外网间、多个网络之间、HPC环境下、云租户之间的跨网文件摆渡需求,通过多审核审批、日志审计、防病毒、DLP检测、传输加密、权限管控、传输加速等,实现统一的文件摆渡安全管控,提高网间数据交互效率。支持企业微信、钉钉等进行消息通知集成。系统内置DLP检测功能,可检测文件的大小、文件名、文件个数、文件来源、敏感内容、文件类型、是否含有病毒等。
高端控制台使用过程中如何保证用电安全
JiaDeLi_console的博客
09-03 510
因此,在使用过程中,采取有效措施确保用电安全,不仅关乎设备寿命,更直接关系到人身安全及数据安全。同时,增强员工的安全意识,让每个人都成为用电安全的守护者,共同营造一个安全、稳定的工作环境。在高端控制台的使用过程中,可以引入智能监控系统,实时监测电力参数、环境温度等关键指标,一旦发现异常立即报警,为及时处理问题提供有力支持。总之,高端控制台使用过程中的用电安全是一项系统工程,需要从电源布局、设备选型、日常维护、人员培训以及智能监控等多个方面入手,全方位、多角度地确保用电安全,为设备的稳定运行保驾护航。
网络安全售前入门09安全服务——安全加固服务
打工人
09-02 1336
安全加固服务是参照风险评估、等保测评、安全检查等工作的结果,基于科学的安全思维方式、长期的安全服务经验积累、对行业的深刻理解、处理安全事件的最佳实践,为客户提供完善的安全加固方案,并在客户侧反馈完成加固后,提供二次评估服务,从而帮助客户达到修补信息系统脆弱性,提高系统安全性,满足相关政策法规的目的。
一次性解决 | 网站被提示“不安全
最新发布
liushuai66888的博客
09-06 373
部署SSL证书:如果网站尚未部署SSL证书,需要购买或获取一个由权威证书颁发机构(CA)签发的SSL证书,并安装在服务器上。安装证书后,网站就是经过第三方CA验证过的,浏览器就会信任这类网站,也就不会在提示“不安全”。通过以上步骤,可以一次性解决网站被提示“不安全”的问题,提升网站的安全性,保护用户数据,并增强网站的品牌形象和用户信任度。如果自己不熟悉SSL证书的安装和配置,或者遇到难以解决的问题,建议联系专业的技术支持人员或网络安全专家来帮助解决。检查证书链:确保证书链完整,没有缺少必要的中间证书。
思科交换机端口安全配置1
2302_76730689的博客
09-02 1036
2配置交换机B的主机名称,创建vlan 10和vlan 20,将f0/1、2划入vlan 10,f0/3、4划入vlan 20,将f0/24配置为Trunk。#3配置交换机A的主机名称,创建vlan 10和vlan 20,并vlan 10和vlan 20 的SVI接口配置IP地址,并启用交换机的路由功能。#4在Switch-B上针对不同vlan 的主机配置端口安全
绿盟信誉云联动配置详解-网络安全防护实践
"绿盟信誉云联动配置用于网络安全防护,通过设备与绿盟信誉云的交互,实现对僵尸网络、恶意站点和危险文件的实时防护。配置包括管理口、Direct-A接口的设定,确保设备能够访问外网并与信誉云通信。" 在《信誉云联动...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值