Bypass--
一个网络安全爱好者,对技术有着偏执狂一样的追求。致力于分享原创高质量干货,包括但不限于:Web安全、代码审计、内网渗透、应急响应、企业安全等领域。
展开
-
使用Web日志还原攻击路径
日志文件是服务器提供的非常有价值的信息,几乎所有的服务器、服务和应用程序都提供某种类型的日志记录,用来记录服务或应用程序运行时发生的事件和操作。日志文件为我们提供了服务器行为的精确视图以...原创 2020-01-08 19:54:33 · 25349 阅读 · 0 评论 -
勒索病毒自救指南
经常会有一些小伙伴问:中了勒索病毒,该怎么办,可以解密吗?第一次遇到勒索病毒是在早几年的时候,客户因网站访问异常,进而远程协助进行排查。登录服务器,在站点目录下发现所有的脚本文件及附件后缀名被篡改,每个文件夹下都有一个文件打开后显示勒索提示信息,这便是勒索病毒的特征。出于职业习惯,我打包了部分加密文件样本和勒索病毒提示信息用于留档,就在今天,我又重新上传了样本,至今依然无法解密。作为...原创 2019-12-29 22:49:00 · 1007 阅读 · 0 评论 -
一个名叫aliyun的挖矿木马处理过程
点击箭头处“蓝色字”,关注我哦!!作者 | @hksanduo来源 | https://hksanduo.club/security/2019/12/19/clean-up-a-mini...转载 2020-02-26 14:45:33 · 1411 阅读 · 0 评论 -
一份超级实用的勒索病毒自救指南
经常会有一些小伙伴问:中了勒索病毒,该怎么办,可以解密吗?第一次遇到勒索病毒是在早几年的时候,客户因网站访问异常,进而远程协助进行排查。登录服务器,在站点目录下发现所有的脚本文件及附件后...原创 2019-12-30 08:12:07 · 24713 阅读 · 0 评论 -
安全应急漏洞排查思路
近日,Spring框架爆出0day漏洞,而这样一个框架漏洞,涉及的资产多、范围广、应急时间紧,框架升级的工程量存在较大挑战,考验着整个团队的协作能力。今天我们探讨的话题是,对于突发0day漏洞等安全应急场景,如何快速进行排查和处置。我将分享我的思路和一些理解,欢迎补充和指正。01、资产梳理资产是风险管理的基础,摸清家底很重要,但也很难。资产梳理的颗粒度,在面对应急事件时,...原创 2022-04-02 08:00:00 · 787 阅读 · 0 评论 -
记一次Emotet木马处理案例
0x00、前言用户的安全意识相对薄弱,面对来历不明的链接和附件,容易被诱导从而遭受木马的入侵。在日常使用过程中,有时电脑中病毒后会遇到木马查杀不掉的情况,应该是如何处理呢?下面分享一个Emotet木马处理的案例,希望对你有所帮助。0x01、案例说明从流量侧监控到多个用户终端频繁发送邮件,涉及大量收件人与发件人并带有附件,疑似感染木马,用户手动杀软查杀无果。0x02、原因分析既然杀软无法......原创 2022-06-30 09:06:34 · 1001 阅读 · 1 评论 -
记编辑器漏洞引发的应急处理
作为一个网站管理员,你没发现的漏洞,你的对手却帮你找到了,并在你的网站里留下了Webshell。这个时候对抗就开始了,找出漏洞根源,捕获攻击者,赢下这场对抗,这个过程本身就挺有意思的。01...原创 2021-05-21 08:00:00 · 231 阅读 · 0 评论 -
从Web日志还原SQL注入拖走的数据
利用SQL注入漏洞拖库,从而导致数据泄漏。一般的排查方式,我们可以使用关键字进行搜索,找到可疑的url尝试进行漏洞复现,通过Web访问日志来还原攻击路径,从而确定问题的根源。但是,有一个问...原创 2021-04-06 08:00:00 · 4023 阅读 · 0 评论 -
常见网站劫持案例及解析
攻击者在入侵网站后,常常会通过恶意劫持流量来获取收益,从而实现流量变现。有一些黑帽劫持的手法堪称防不胜防,正常的访问行为很难发现异常。今天给大家分享一下常见的网站劫持手法和排查思路。我们可...原创 2021-03-29 08:00:00 · 750 阅读 · 0 评论 -
恶意样本基础分析技巧
当服务器发生病毒入侵,使用杀毒软件检测到一个恶意程序,你删除了它。但是过了几天又发生了同样的安全事件,很显然恶意程序被没有被清除干净。我们需要知道这个恶意代码到底做了什么,如何进行有效检测...原创 2021-06-24 08:00:00 · 656 阅读 · 0 评论 -
Windows日志识别入侵痕迹
有小伙伴问:网络上大部分windows系统日志分析都只是对恶意登录事件分析的案例,可以通过系统日志找到其他入侵痕迹吗?答案肯定是可以的,当攻击者获取webshell后,会通过各种方式来执行系统命令。所有的web攻击行为会存留在web访问日志里,而执行操作系统命令的行为也会存在在系统日志。不同的攻击场景会产生不一样的系统日志,不同的Event ID代表了不同的意义,需要重点关注一些事件I...原创 2021-01-11 20:04:00 · 25100 阅读 · 0 评论 -
在Windows日志里发现入侵痕迹
有小伙伴问:Windows系统日志分析大多都只是对恶意登录事件进行分析的案例,可以通过系统日志找到其他入侵痕迹吗?答案肯定是可以的,当攻击者获取webshell后,会通过各种方式来执行系...原创 2020-12-14 08:00:00 · 45876 阅读 · 0 评论 -
网站被植入Webshell,怎么处理?
网站被植入webshell,意味着网站存在可利用的高危漏洞,攻击者通过利用漏洞入侵网站,写入webshell接管网站的控制权。为了得到权限 ,常规的手段如:前后台任意文件上传,远程命令执...原创 2020-02-20 09:14:54 · 1927 阅读 · 0 评论 -
Windows手工入侵排查思路
Windows系统被入侵后,通常会导致系统资源占用过高、异常端口和进程、可疑的账号或文件等,给业务系统带来不稳定等诸多问题。一些病毒木马会随着计算机启动而启动并获取一定的控制权,启动方式多...原创 2021-04-13 08:00:00 · 4323 阅读 · 0 评论 -
Linux手工入侵排查思路
当Linux主机发生安全事件需要进行入侵排查时,一般可以使用常见的shell命令,通过分析主机的异常现象、进程端口、启动方式、可疑文件和日志记录等信息以确认主机是否被入侵。在这里,结合工作...原创 2021-04-19 08:00:00 · 699 阅读 · 0 评论 -
从RDP爆破定位内部攻击者
一台没有发布任何服务到公网的服务器,却有大量的账户登录失败记录,咋一看实在有点让人费解。我们需要做的就是,从繁杂的现象中,拔丝抽茧找到有价值的信息,进一步定位攻击来源,从根源上解决攻击问题...原创 2021-03-22 08:00:00 · 4774 阅读 · 0 评论 -
一次远程命令执行引发的应急响应
在发现入侵事件时,基于入侵现象进行排查,结合日志进行关联分析,对未知情况作合理的猜测,还原攻击场景,找到漏洞根源,这是很重要的任务。01、事件起因入侵检测出现安全预警,发现内网服务器的ja...原创 2021-03-15 08:00:00 · 4087 阅读 · 0 评论 -
Linux 命令被劫持了,怎么处理
在一些应急场景中,我们经常会遇到有些木马会替换常用的系统命令进行伪装,即使我们清理了木马,执行ps、netstat等系统命令时又启动了木马进程。这种手法相对比较隐蔽,排查起来也比较困难,本文分享两种比较简单的排查技巧。1、AIDE 入侵检测AIDE 是一款入侵检测工具,主要用途是检查文档的完整性。通过构建一个基准的数据库,保存文档的各种属性,一旦系统被入侵,可以通过对比基准数据...原创 2021-02-26 20:38:00 · 24569 阅读 · 0 评论 -
安全事件应急响应工具箱
收集了一些常见的安全事件应急响应工具和资源列表,总收集47款实用工具,包括多引擎病毒检测、病毒查杀、勒索病毒搜索引擎、webshell检测、在线沙箱、安全分析、流量分析和日志分析等工具。...原创 2021-01-18 08:00:00 · 25604 阅读 · 0 评论 -
推荐 | 10个好用的Web日志安全分析工具
10个好用的Web日志安全分析工具经常听到有朋友问,有没有比较好用的web日志安全分析工具?首先,我们应该清楚,日志文件不但可以帮助我们溯源,找到入侵者攻击路径,而且在平常的运维中,日志也可以反应出很多的安全攻击行为。一款简单好用的Web日志分析工具,可以大大提升效率,目前业内日志分析工具比较多,今天推荐十个比较好用的Web日志安全分析工具。1、360星图一款非常好用的网站访问日...原创 2020-06-27 13:07:00 · 45190 阅读 · 0 评论 -
Web日志安全分析技巧
ox01 Web日志Web访问日志记录了Web服务器接收处理请求及运行时错误等各种原始信息。通过对WEB日志进行的安全分析,不仅可以帮助我们定位攻击者,还可以帮助我们还...原创 2019-06-24 08:20:22 · 3588 阅读 · 1 评论 -
MSSQL日志安全分析技巧
常见的数据库攻击包括弱口令、SQL注入、提升权限、窃取备份等。对数据库日志进行分析,可以发现攻击行为,进一步还原攻击场景及追溯攻击源。0x01 MSSQL日志分析首先,M...原创 2019-06-19 08:11:07 · 1171 阅读 · 0 评论 -
利用powershell进行windows日志分析
0x00 前言 Windows 中提供了 2 个分析事件日志的 PowerShell cmdlet:一个是Get-WinEvent,超级强大,但使用起来比较麻烦;另一个是Get-EventLog,使得起来相当简单,可以实时筛选,接下来,我们利用PowerShell 来自动筛选 Windows 事件日志。0x01 Get-WinEventA、XML编写假设有这样一个需求:...原创 2018-07-09 15:44:00 · 1338 阅读 · 0 评论 -
如何在百万行代码中发现隐藏的后门
试想一下,如果你的网站被入侵,攻击者留下隐藏的后门,你真的都可以找出来嘛?面对一个大中型的应用系统,数以百万级的代码行,是不可能做到每个文件每段代码进行手工检查的。即使是一款拥有99....原创 2020-04-13 08:00:14 · 25907 阅读 · 0 评论 -
Linux日志安全分析技巧
0x00 前言我正在整理一个项目,收集和汇总了一些应急响应案例(不断更新中)。GitHub 地址:https://github.com/Bypass007/Emergen...原创 2019-06-10 09:28:24 · 1598 阅读 · 1 评论 -
Web应急:网站被植入Webshell
Web应急:网站被植入Webshell 网站被植入webshell,意味着网站存在可利用的高危漏洞,攻击者通过利用漏洞入侵网站,写入webshell接管网站的控制权。为了得到权限 ,常规的手段如:前后台任意文件上传,远程命令执行,Sql注入写入文件等。现象描述网站管理员在站点目录下发现存在webshell,于是开始了对入侵过程展开了分析。...原创 2019-06-10 16:34:00 · 498 阅读 · 0 评论 -
网站被篡改详细处理方法
网站被篡改详细处理方法 1、网站被篡改主要有哪几种具体体现?首页被篡改挂黑链快照劫持了,根据不同IP访问不同的页面,所以导致了自己的快照被劫持。 2、如何发现网站被篡改网站安全实时监测 如何确认网站被篡改了什么内容?文件完整校验,把所有网站文件计算一次hash值保存,然后再执行和上次的hash值进行对...原创 2018-04-20 11:10:00 · 1823 阅读 · 0 评论 -
windows应急响应入侵排查思路
0x00 前言 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。常见的应急响应事件分类:web入侵:网页挂马、主页篡改、Webshell系统入侵:病毒木马、勒索软件、远控后门网络攻击:DDOS攻击、DN...原创 2018-10-28 13:44:00 · 1772 阅读 · 1 评论 -
Linux应急响应入侵排查思路
0x00 前言 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Linux服务器入侵排查的思路。0x01 入侵排查思路一、账号安全基...原创 2018-10-28 13:41:00 · 1335 阅读 · 1 评论 -
Linux应急响应(四):盖茨木马
0x00 前言 Linux盖茨木马是一类有着丰富历史,隐藏手法巧妙,网络攻击行为显著的DDoS木马,主要恶意特点是具备了后门程序,DDoS攻击的能力,并且会替换常用的系统文件进行伪装。木马得名于其在变量函数的命名中,大量使用Gates这个单词。分析和清除盖茨木马的过程,可以发现有很多值得去学习和借鉴的地方。0x01 应急场景 某天,网站管理员发现服务器CPU资源异常,几个异常进程占...原创 2018-10-07 22:58:00 · 529 阅读 · 0 评论 -
Linux应急响应(二):捕捉短连接
0x00 前言 短连接(short connnection)是相对于长连接而言的概念,指的是在数据传送过程中,只在需要发送数据时,才去建立一个连接,数据发送完成后,则断开此连接,即每次连接只完成一项业务的发送。 在系统维护中,一般很难去察觉,需要借助网络安全设备或者抓包分析,才能够去发现。0x01 应急场景 某天,网络管理员在出口WAF检测到某台服务器不断向香港I发起请求 ,感觉很...原创 2018-08-30 17:32:00 · 531 阅读 · 0 评论 -
Linux应急响应(一):SSH暴力破解
0x00 前言 SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议,主要用于给远程登录会话数据进行加密,保证数据传输的安全。SSH口令长度太短或者复杂度不够,如仅包含数字,或仅包含字母等,容易被攻击者破解,一旦被攻击者获取,可用来直接登录系统,控制服务器所有权限。0x01 应急场景 某天,网站管理员登录服务器进行巡检时,发现端口连接里存在两条可疑的连接记录,如下图...原创 2018-08-30 17:17:00 · 2607 阅读 · 0 评论 -
Window应急响应(六):NesMiner挖矿病毒
Window应急响应(六):NesMiner挖矿病毒 0x00 前言 作为一个运维工程师,而非一个专业的病毒分析工程师,遇到了比较复杂的病毒怎么办?别怕,虽然对二进制不熟,但是依靠系统运维的经验,我们可以用自己的方式来解决它。0x01 感染现象1、向大量远程IP的445端口发送请求2、使用各种杀毒软件查杀无果,虽然能识别出在...原创 2019-05-10 17:25:00 · 576 阅读 · 0 评论 -
Window应急响应(五):ARP病毒
Window应急响应(五):ARP病毒 0x00 前言 ARP病毒并不是某一种病毒的名称,而是对利用arp协议的漏洞进行传播的一类病毒的总称,目前在局域网中较为常见。发作的时候会向全网发送伪造的ARP数据包,严重干扰全网的正常运行,其危害甚至比一些蠕虫病毒还要严重得多。0x01 应急场景 某天早上,小伙伴给我发了一个微信,说192...原创 2019-02-28 17:52:00 · 513 阅读 · 0 评论 -
Window应急响应(三):勒索病毒
0x00 前言 勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。自WannaCry勒索病毒在全球爆发之后,各种变种及新型勒索病毒层出不穷。0x01 应急场景 某天早上,网站管理员打开OA系统,首页访问...原创 2019-12-13 12:05:34 · 2095 阅读 · 0 评论 -
Window应急响应(二):蠕虫病毒
0x00 前言 蠕虫病毒是一种十分古老的计算机病毒,它是一种自包含的程序(或是一套程序),通常通过网络途径传播,每入侵到一台新的计算机,它就在这台计算机上复制自己,并自动执行它自身的程序。常见的蠕虫病毒:熊猫烧香病毒 、冲击波/震荡波病毒、conficker病毒等。0x01 应急场景 某天早上,管理员在出口防火墙发现内网服务器不断向境外IP发起主动连接,内网环境,无法连通外网,...原创 2018-08-05 15:13:00 · 1110 阅读 · 0 评论 -
Window应急响应(四):挖矿病毒
0x00 前言 随着虚拟货币的疯狂炒作,挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一。病毒传播者可以利用个人电脑或服务器进行挖矿,具体现象为电脑CPU占用率高,C盘可使用空间骤降,电脑温度升高,风扇噪声增大等问题。0x01 应急场景 某天上午重启服务器的时候,发现程序启动很慢,打开任务管理器,发现cpu被占用接近100%,服务器资源占用严重。0x02 事件分析...原创 2018-08-05 15:17:00 · 5104 阅读 · 0 评论 -
Window应急响应(一):FTP暴力破解
0x00 前言 FTP是一个文件传输协议,用户通过FTP可从客户机程序向远程主机上传或下载文件,常用于网站代码维护、日常源码备份等。如果攻击者通过FTP匿名访问或者弱口令获取FTP权限,可直接上传webshell,进一步渗透提权,直至控制整个网站服务器。0x01 应急场景 从昨天开始,网站响应速度变得缓慢,网站服务器登录上去非常卡,重启服务器就能保证一段时间的正常访问,...原创 2018-07-27 13:52:38 · 723 阅读 · 0 评论