应急响应--初识

已于 2022-02-18 00:07:49 修改
阅读量440 收藏
点赞数 1
分类专栏: # 红蓝对抗/AWD 文章标签: web安全 安全 网络
于 2022-02-17 23:53:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qi_SJQ_/article/details/122990011
版权

在这里插入图片描述

WEB 攻击应急响应朔源-后门,日志

故事回顾:某顾客反应自己的网站首⻚出现被篡改,请求支援。

分析:涉及的攻击面 、涉及的操作权限 、涉及的攻击意图(修改网站为了干嘛?,可以从修改的网站来分析) 、涉及的攻击方式等。

思路1:

利用日志定位修改时间基数,将前时间进行攻击分析,后时间进行操作分析

思路2:

利用后⻔webshell查杀脚本或工具找到对应后⻔文件,定位第一时间分析先查看开放的端口,再查看端口所对应的服务

netstat -ano 查看开放端口

在这里插入图片描述
可以修改apache配置让日志还保存访问者的访问信息:ip、浏览器信息、数据包信息(比如工具的指纹ua头)等。

还可以利用webshell查杀工具:常见webshell查杀工具

在这里插入图片描述

WIN 系统攻击应急响应朔源-后门,日志,流量

故事回顾:某客户反应服务器异常出现卡顿等情况

分析:涉及的攻击面 、涉及的操作权限、 涉及的攻击意图 、涉及的攻击方式等。

思路:

利用监控工具分析可疑进程,利用杀毒软件分析可疑文件,利用接口工具抓流量
  • 获取进程监控:PCHunter64
  • 获取执行列表:UserAssistView
AppCompatCacheParser.exe --csv c:\temp -t

在这里插入图片描述
通过这个软件分析出可以文件。

也可以用系统再带的的日志分析:
在这里插入图片描述
另一款软件也可以分析可执行文件的运行情况:
在这里插入图片描述
也有可能存在免杀,但免杀也未必针对所有杀软都能免杀,还可以上传到杀毒网站上分析等等。

暮w光
关注
专栏目录
应急响应第一篇之基础篇
千寻的博客
08-29 1586
文章目录0x01 基本流程和基本原则一、什么是应急响应二、应急响应的两个方面三、应急响应的基本流程四、应急响应的原则0x02技能和工具的简介一、常用工具-webshell工具--Process hacker工具-火绒剑工具-LastActivity view工具---Autoruns工具---evtxLogparser工具---everything免责声明 0x01 基本流程和基本原则 一、什么是应急响应 应急响应”对应的英文是" ncident Response”或 Emergency Response
【DFIR】数字取证与事件应急响应---初识
weixin_30527143的博客
03-01 1322
应急响应   适用于负责现场应急,找出可疑的程序,恶意代码的安全工程师。这些可疑恶意程序或代码由另外的专家进行逆向分析。 前言   首先,什么是DRIF?   DRIR:Digital Forensics and Incident Response,翻译过来就是=>数字取证与事件应急响应。   当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间...
网安学习-应急响应1
weixin_44770698的博客
08-06 2551
初识应急响应
初识应急响应之windows篇
Jach1n
02-11 601
应急响应之windows
初识应急响应之Linux篇
Jach1n
02-13 280
linux应急响应常用命令
网安学习-应急响应2
weixin_44770698的博客
08-07 1177
网络安全-初识应急响应2
内网安全-域横向CS&MSF联动及应急响应初识
xhscxj的博客
03-25 4078
案例1:MSF&CobaltStrike联动Shell CS->MSF 创建Foreign监听器->MSF监听模块设置对应地址端口->CS执行Spawn选择监听器 MSF->CS CS创建监听器->MSF载入新模块注入设置对应地址端口->执行CS等待上线 use exploit/windows/local/payload_inject 首先准备一台外网的服务器,安装上cs和msf 将cs会话反弹到msf上 本地连接cs,目标cs上线后,创建监听 msf处..
内网-域横向CS&MSF联动及应急响应初识
mingyqf的博客
11-24 1000
内网-域横向CS&MSF联动及应急响应初识 本课重点: 案例1:MSF&CobaltStrike联动Shell 案例2:WEB攻击应急响应朔源-后门,日志 案例3:WIN系统攻击应急响应朔源-后门,日志,流量 案例1:MSF&CobaltStrike联动Shell 为什么要进行联动?因为cs和msf经常相互调用,有一些功能cs强一点,有一些可能msf强一点,所以在渗透测试的时候经常要切换!所以我们需要学习如何在cs、msf、powershell之间进行会话委派。powersh
从后渗透分析应急响应的那些事儿(二)免杀初识
爱上卿的博客
06-06 4603
从后渗透分析应急响应的那些事儿(二)免杀初识篇 文章首发于freebuf Tidesec专栏 https://www.freebuf.com/column/204005.html,转载到个人博客记录,转载请注明出处。 不知攻,焉知防。初识免杀,借此划重点分析应急响应应注意的免杀木马那些事儿。 1免杀相关定义 1.1木马 木马(Trojan),也称木马病毒,是指通过特定的程序(木马程序)来...
云南省德宏州梁河县一中高中地理课件 选修5:初识自然灾害.ppt
10-29
我国在灾害应对上的进步,体现在死亡人数的减少,这主要归功于预警系统的完善、应急响应能力的提高和公众防灾意识的增强。 总的来说,学习“初识自然灾害”旨在培养我们用辩证的观点看待自然现象,理解自然灾害的...
第一章 魔鬼训练营--初识Metasploit
qq_31411551的博客
05-11 456
第一章 魔鬼训练营–初识Metasploit 课程 渗透测试就是一种通过模拟恶意攻击者的技术与方法,挫败目标系统安全控制措施,取得访问控制权,并发现具备业务影响后果安全隐患的一种安全测试与评估方法。一般分为黑盒测试 和 白盒测试 ,两种结合是灰盒测试。 白盒测试的最大问题在于无法有效地测试客户组织的应急响应程序,也无法判断他们的安全防护计划对检测特定攻击的频率。 渗透测试方法体系标准: 安全测试方法学开源手册(OSSTMM),NIST SP 800-42 网络安全测试指南,OWASP十大Web应用安全
初识Linux运维 - 从入门到精通
# 1. Linux运维简介 ## 1.1 什么是Linux运维 Linux运维是指对Linux操作系统进行管理和维护的工作。它包括安装和配置Linux系统、监测和优化系统性能、管理网络安全性、配置和维护服务器等任务。...
ArcGIS教程(00):初识ArcGIS
WwLK123的博客
07-24 489
ArcGIS 是一个全面的地理信息系统平台,适用于各种规模的组织和不同类型的应用,包括城市规划、环境管理、公共安全、运输和商业等。它支持桌面、服务器和云端环境,提供从数据采集到数据分析、可视化和共享的一体化解决方案。
网络安全证书考取相关知识
aa98865646的博客
09-21 622
作者是个想进入网络安全行业发展的小白,目前没啥钱,是想自学以后挖漏洞赚钱的,看了这两个算是比较常见的证书看起来都要花不少钱的话,我感觉自己还是先自学一段时间再说吧,实战更重要,这些证书等以后有机会慢慢考吧,如果需要的话。欢迎大佬补充其他适合小白考取的证书,目前感觉4800+480的NISP一级证书比较适合在学校的小白,CISP的话再NISP考到二级以后再加钱4000就可以换成CISP了,NISP适合学生,CISP适合职场啊,不过都是要钱啊。
如何用3个月零基础入门网络安全?_网络安全零基础怎么学习
2401_84466224的博客
09-24 620
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
网络安全详解
weidl001的博客
09-21 1389
网络安全(Cybersecurity)是指保护网络系统、设备、程序及数据免受攻击、损坏或未授权访问的实践。其核心目标是确保信息的机密性、完整性和可用性。机密性(Confidentiality):确保信息仅被授权的人员访问。完整性(Integrity):保护信息不被未授权的修改或破坏。可用性(Availability):确保信息和资源在需要时可被访问和使用。
国产操作系统(统信UOS)网络安全等级保护基础安全加固
最新发布
2401_84434570的博客
09-26 536
统一操作系统UOS是由多家企业共同打造的中文国产操作系统。一、设置口令复杂度策略和有效期首先安装libpam-pwquality依赖包口令复杂度策略通过libpam-pwquality依赖包进行设置依赖包的安装命令:sudo apt-get install libpam-pwquality。依赖包的查看方式执行命令:dpkg -l libpam-pwquality。执行命令:vim etc/pam.d/common-passwd。
网络安全全方略
AI逍遥子
09-25 1071
网络安全全方略是一个系统化、全面化的过程,涉及策略制定、技术实施、管理流程、技术维护和文化建设等多个方面。通过构建一个全方位、多层次的网络安全防护体系,可以有效保护网络系统、数据和服务免受各种威胁,保业务的连续性和数据的完整性。
1-初识: yuanrenxue
01-24
初识yuanrenxue是在一次线上学习的交流中,我注意到了他的回答和评论总是深入透彻,对问题有着独到的见解。我对他的学识和思维方式产生了浓厚的兴趣,于是开始主动与他交流讨论。在交流中,我发现yuanrenxue不仅对...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值