浅析bro网络流量分析

0x00 概述 BRO 是一个开源功能强大的流量分析工具,主要用于协议解析(conn/dce_rpc/dhcp/dnp3/dns/ftp/http/irc /kerberos/modbus/mysql/ntlm/radius/rdp/rfb/sip/smb/smtp/snmp/socks/ssh...

2018-08-02 03:25:53

阅读数:356

评论数:0

某日应急响应小记

背景:一哥们反应自己的测试机器总是关机,联系云主机客服得知服务器总是大量发包,导致技术关停该机器。作者:vinc 排查过程: Last查看登录记录查找到一个可疑IP [root[@i-9kp9tipm](/user/i-9kp9tipm) dpkgd]# grep "1.180...

2018-01-17 13:41:29

阅读数:181

评论数:0

企业安全经验 | 应急响应的战争

* 本文作者:nightmarelee,本文属FreeBuf原创奖励计划,未经许可禁止转载 漏洞的出现对于应急响应的同学而言就是一场战争,往往需要紧急的编写脚本,下发扫描,有时甚至需要到Git的存储机器上对代码来个全身检查,最后确定相关的负责人。整个流程执行完成,花费的时间大概是1~2天,而...

2017-12-02 12:32:37

阅读数:204

评论数:0

一个人的企业安全建设之路

* 本文作者:Sophone,本文属FreeBuf原创奖励计划,未经许可禁止转载 前言 如今很多中小型互联网公司对安全需求不高,安全资源贫乏,领导只重视业务忽略安全,在这种情况下可能安全人员很难立足,推动公司做好安全,从而进入了进退两难的窘境,目前从事国内某车联网公司,公司团队在300人左右,...

2017-07-14 00:07:31

阅读数:337

评论数:0

通过服务器日志溯源web应用攻击路径

无论是我们使用的个人计算机还是服务器都为我们提供了强大的日志记录功能。例如系统日志,可以为我们记录系统硬件、软件和系统问题的信息,用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。 而服务器日志,则主要包括访问日志和错误日志。访问日志记录了该服务器所有的请求的过程,主要...

2017-07-03 16:15:43

阅读数:788

评论数:0

我的日志分析之道:简单的Web日志分析脚本

原创作者:北风飘然@金乌网络安全实验室,本文属FreeBuf原创奖励计划,未经许可禁止转载     前言 长话短说,事情的起因是这样的,由于工作原因需要分析网站日志,服务器是windows,iis日志,在网上找了找,github找了找,居然没找到,看来只有自己动手丰衣足食。 那么分析方法我大...

2017-02-15 14:59:45

阅读数:1721

评论数:0

How To Test your Firewall Configuration with Nmap and Tcpdump

Introduction Setting up a firewall for your infrastructure is a great way to provide some basic security for your services. Once you've developed ...

2016-09-08 05:03:07

阅读数:667

评论数:0

Hacked: Investigating An Intrusion On My Server

tl;dr I have received a nice "your server is sending spam" email on a Saturday morning, this is what happened next. As a foreword, this ...

2016-09-01 22:41:42

阅读数:580

评论数:0

LOKI:一款APT威胁指标扫描软件

LOKI是一款APT入侵痕迹扫描软件,以入侵威胁指标(IOC)和黑客工具特征为对象,发现入侵事件和痕迹,其内置的指标特征来自公开发布的事件报告、取证分析和恶意样本等。LOKI由德国信息安全公司Bsk-Consulting开发。 LOKI GitHub: https://github.com...

2016-09-01 22:21:41

阅读数:995

评论数:0

Guidelines for blocking specific firewall ports to prevent SMB traffic from leaving the corporate en

Summary Malicious users can use the Server Message Block (SMB) protocol for malicious purposes.  Firewall best practices and firewall configura...

2016-08-31 15:44:56

阅读数:413

评论数:0

针对微软Exchange邮箱系统的取证分析

背景介绍 毋庸置疑,在现代企业的办公环境中,电子邮件肯定是员工之间最主要的通信方式了。据统计,仅在2015年,全球范围内每天接收和发送的商务邮件数量已经超过了一千一百二十亿封[统计报告传送门]。这也就意味着,每一位企业员工平均每周都需要花十三个小时的时间来处理他们的电子邮件。...

2016-08-29 14:38:59

阅读数:1031

评论数:0

Cowrie蜜罐部署教程

0.蜜罐分类: 低交互:模拟服务和漏洞以便收集信息和恶意软件,但是攻击者无法和该系统进行交互; 中等交互:在一个特有的控制环境中模拟一个生产服务,允许攻击者的部分交互; 高交互:攻击者可以几乎自由的访问系统资源直至系统重新清除恢复。 1.cowrie简介 ...

2016-08-24 21:52:40

阅读数:1475

评论数:0

被黑客种下恶意程序的排除案例 20160805

收到一条短信服务器CPU跑到了90%,赶紧登陆服务器top查看一下,这个叫minerd 的程序消耗这么多,这是个什么东西啊?     # find / -name minerd /opt/minerd # ls KHK75NEOiq33 minerd 在op...

2016-08-08 13:02:14

阅读数:473

评论数:0

centos_security.txt - 2016-04-19 23:00

https://github.com/luyg24/IT_security/blob/master/centos_security.txt ######centos6安全加固############# 首先需要更新一些软件 bash open...

2016-04-21 21:05:48

阅读数:446

评论数:0

wireshark解密https数据包方法

wireshark在进行数据包抓取时对于http的数据包,直接可以看得到传输的内容,在搭建wifi钓鱼测试时也难免遇到https的数据包,wireshark抓取到的数据包在不进行任何处理的情况下是看不到内容的,如下图所示: 这里利用ssl加解密流的方式对数据包进行解密: 第一步:设置用户环...

2016-04-15 22:29:01

阅读数:2704

评论数:0

20160409日志这块的一点整理-就分到安全应急这块吧!

Apache不记录指定文件类型日志 ErrorLog "logs/test.com-error_log" SetEnvIr Request_URI ".*\.gif\.php$" image-request SetEnvIf Request_URI &quo...

2016-04-09 15:19:03

阅读数:507

评论数:0

一次服务器被入侵后的分析 -20130911

最近有个朋友让我去帮他看一下他的linux服务器.说是apache启动不了,有很多诡异的情况.后来证明绝不是apache启动不了这么简单. 登上服务器之后随便看了下,最先引起我注意的是”ls”命令的输出: lars@server1:~$ ls ls: invalid opt...

2016-04-08 01:39:20

阅读数:990

评论数:0

Linux入侵取证:从一次应急事件讲起 20141111

0×00 背景 最近接手了一起应急事件,事件的起因是这样,某IP地址在短时间内攻击国家CN顶级域名(203.119.x.1)近8万次。于是便作为一员接手了此次事件。 0×01 事件取证过程 1.Nmap扫描,存在的未知端口 如上图所示,存在着未知的端口8093,我们尝试在浏览器中这个端...

2016-04-08 01:37:08

阅读数:900

评论数:1

剖析:一次入侵Linux服务器的事件记录 20131222

针对此PHP漏洞的尝试,ColdFusion,内容管理系统存在此漏洞是很常见的。在某些情况下,特定的攻击可能会成功,对高价值的服务器,会导致非常显著的数据泄漏。在其他情况下,攻击者将会大规模的操控被感染的主机。  最近,我注意到多个IP地址试图利用一个PHP漏洞攻击,所以我利用蜜罐记录了结果,此...

2016-04-08 01:35:51

阅读数:759

评论数:0

linux恶意样本-我是壮丁

今天看到drops,有白帽子发了一份服务器发现问题处理的一个过程主机被入侵分析过程报告 曾经也处理过类似的,应该是一个家族的,就发出来吧。 0x00:后门名称 Unix.Trojan.Elknot 0x01:后门行为 1.在 /mnt 目目录下放置多个后门程序,并...

2016-03-13 15:12:24

阅读数:611

评论数:0

提示
确定要删除当前文章?
取消 删除
关闭
关闭