应急响应
文章平均质量分 92
蜜罐小明哥
1. 本人热爱网络安全事业,对网络安全有浓厚的兴趣,能承受较大的工作压力;
2. 具有很强的团队精神,有良好的组织、协调和沟通能力,有强烈的集体荣誉感;
3. 自学能力强,喜欢钻研新技术,敢于面对和克服困难;
4. 有比较强的动手能力,勇于面对困难和挑战,有很好的分析问题与解决问题的能力;
5. 工作认真负责,积极上进,能够吃苦耐劳,有良好的职业素质;
6. 会用 100%的热情和精力投入到工作中。
展开
-
应急响应之Linux权限维持--后门篇
本文将对Linux下常见的权限维持技术进行解析,知己知彼百战不殆。1、一句话添加用户和密码添加普通用户:# 创建一个用户名guest,密码123456的普通用户useradd -p `openssl passwd -1 -salt 'salt' 123456` guest# useradd -p 方法 ` ` 是用来存放可执行的系统命令,"$()"也可以存放命令执行语句useradd -p "$(openssl passwd -1 123456)" guest # chpasswd方法原创 2021-01-14 11:27:53 · 717 阅读 · 1 评论 -
应急响应之Linux权限维持--隐藏篇
前言攻击者在获取服务器权限后,会通过一些技巧来隐藏自己的踪迹和后门文件,本文介绍Linux下的几种隐藏技术。1、 隐藏文件Linux 下创建一个隐藏文件:touch .test.txttouch 命令可以创建一个文件,文件名前面加一个 点 就代表是隐藏文件,如下图:一般的Linux下的隐藏目录使用命令ls -l是查看不出来的,只能查看到文件及文件夹,查看Linux下的隐藏文件需要用到命令:ls -al这里,我们可以看到在/tmp下,默认存在多个隐藏目录,这些目录是恶意文件常用来藏身的地方。如/原创 2021-01-06 10:50:20 · 1118 阅读 · 0 评论 -
应急响应之Windows权限维持--后门篇
在获取服务器权限后,通常会用一些后门技术来维持服务器权限,服务器一旦被植入后门,攻击者便如入无人之境。本文将对常见的window服务端自启动后门技术进行解析,知己知彼方能杜绝后门。1、 注册表自启动通过修改注册表自启动键值,添加一个木马程序路径,实现开机自启动。常用的注册表启动键:# Run键 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\W原创 2021-01-04 10:41:13 · 678 阅读 · 0 评论 -
应急响应之Windows权限维持--隐藏篇
前言攻击者在获取服务器权限后,通常会用一些后门来维持权限,如果你想让你的后门保持的更久些,那么请隐藏好它,使之不易被管理员发现。1、 隐藏文件1、利用文件属性最简单的一种隐藏文件的方式,文件右键属性,勾选隐藏,点击确定后,在这个文件里看不到刚刚的文件了。如果要让文件显示出来,就点击查看,勾选显示隐藏的文件,文件就显示出来。如何真正隐藏文件?使用Attrib +s +a +h +r命令就是把原本的文件夹增加了系统文件属性、存档文件属性、只读文件属性和隐藏文件属性。attrib +s +a原创 2020-12-28 10:46:13 · 773 阅读 · 0 评论 -
应急响应之MySQL日志分析
常见的数据库攻击包括弱口令、SQL注入、提升权限、窃取备份等。对数据库日志进行分析,可以发现攻击行为,进一步还原攻击场景及追溯攻击源。1、 Mysql日志分析general query log能记录成功连接和每次执行的查询,我们可以将它用作安全布防的一部分,为故障分析或黑客事件后的调查提供依据。1、查看log配置信息show variables like '%general%';2、开启日志SET GLOBAL general_log = 'On';3、指定日志文件路径#SET GLOBAL原创 2020-12-23 15:52:45 · 281 阅读 · 1 评论 -
应急响应之MSSQL日志分析
常见的数据库攻击包括弱口令、SQL注入、提升权限、窃取备份等。对数据库日志进行分析,可以发现攻击行为,进一步还原攻击场景及追溯攻击源。1 、MSSQL日志分析首先,MSSQL数据库应启用日志记录功能,默认配置仅限失败的登录,需修改为失败和成功的登录,这样就可以对用户登录进行审核。登录到SQL Server Management Studio,依次点击 管理–SQL Server 日志双击日志存档文件即可打开日志文件查看器,并可以对日志进行筛选或者导出等操作。另外,MSSQ提供了一个工具SQL原创 2020-12-22 10:08:45 · 534 阅读 · 0 评论 -
应急响应之Web日志分析
1 、 Web日志Web访问日志记录了Web服务器接收处理请求及运行时错误等各种原始信息。通过对WEB日志进行的安全分析,不仅可以帮助我们定位攻击者,还可以帮助我们还原攻击路径,找到网站存在的安全漏洞并进行修复。我们来看一条Apache的访问日志:127.0.0.1 - - [11/Jun/2018:12:47:22 +0800] "GET /login.html HTTP/1.1" 200 786 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebK原创 2020-12-14 15:01:33 · 504 阅读 · 0 评论 -
应急响应之Linux日志分析
前言Linux系统拥有非常灵活和强大的日志功能,可以保存几乎所有的操作记录,并可以从中检索出我们需要的信息。 本文简介一下Linux系统日志及日志分析技巧。1、 日志简介日志默认存放位置:/var/log/查看日志配置情况:more /etc/rsyslog.conf日志文件说明/var/log/cron记录了系统定时任务相关的日志/var/log/cups记录打印信息的日志/var/log/dmesg记录了系统在开机时内核自检的信息,也可以使用dmesg命令原创 2020-12-11 09:28:05 · 202 阅读 · 0 评论 -
应急响应之Window日志分析
1 、Window事件日志简介Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。系统日志记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。默认位置: %SystemRoot%\System3原创 2020-12-10 15:36:42 · 994 阅读 · 0 评论 -
应急响应之勒索病毒自救指南
经常会有一些小伙伴问:中了勒索病毒,该怎么办,可以解密吗?第一次遇到勒索病毒是在早几年的时候,客户因网站访问异常,进而远程协助进行排查。登录服务器,在站点目录下发现所有的脚本文件及附件后缀名被篡改,每个文件夹下都有一个文件打开后显示勒索提示信息,这便是勒索病毒的特征。出于职业习惯,我打包了部分加密文件样本和勒索病毒提示信息用于留档,就在今天,我又重新上传了样本,至今依然无法解密。作为一个安全工程师,而非一个专业的病毒分析师,我们可以借助各大安全公司的能力,寻找勒索病毒的解密工具。本文整理了一份勒索病原创 2020-12-02 10:28:44 · 266 阅读 · 0 评论 -
应急响应之如何发现隐藏的Webshell后门
如何在百万行代码里发现隐藏的后门试想一下,如果你的网站被入侵,攻击者留下隐藏的后门,你真的都可以找出来嘛?面对一个大中型的应用系统,数以百万级的代码行,是不可能做到每个文件每段代码进行手工检查的。即使是一款拥有99.9%的Webshell检出率的检测引擎,依然可能存在Webshell绕过的情况。另外,像暗链、网页劫持、页面跳转等常见的黑帽SEO手法,也很难通过手动检测或工具检测全部识别出来。最好的方式就是做文件完整性验证。通过与原始代码对比,可以快速发现文件是否被篡改以及被篡改的位置。当然,第一个前提原创 2020-11-30 15:28:32 · 647 阅读 · 0 评论 -
应急响应之Webshell查杀工具
当网站服务器被入侵时,我们需要一款Webshell检测工具,来帮助我们发现webshell,进一步排查系统可能存在的安全漏洞。本文推荐了10款Webshll检测工具,用于网站入侵排查。当然,目前市场上的很多主机安全产品也都提供这种WebShell检测能力,比如阿里云、青藤云、safedog等,本文暂不讨论。1、D盾_Web查杀阿D出品,使用自行研发不分扩展名的代码分析引擎,能分析更为隐藏的WebShell后门行为。兼容性:只提供Windows版本。工具下载地址:http://www.d99net.原创 2020-11-26 17:00:03 · 4072 阅读 · 0 评论 -
应急响应之Linux入侵排查
第2篇:Linux入侵排查前言当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Linux服务器入侵排查的思路。1、 入侵排查思路1.1 账号安全基本使用:1、用户信息文件/etc/passwdroot:x:0:0:root:/root:/bin/ba原创 2020-11-25 16:35:12 · 252 阅读 · 0 评论 -
应急响应之window入侵排查
前言当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。常见的应急响应事件分类:web入侵:网页挂马、主页篡改、Webshell系统入侵:病毒木马、勒索软件、远控后门网络攻击:DDOS攻击、DNS劫持、ARP欺骗针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Window服务器入侵排查的思路。1 、入侵原创 2020-11-23 16:33:19 · 215 阅读 · 0 评论