![](https://img-blog.csdnimg.cn/20201014180756930.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
应急响应
文章平均质量分 92
小翠儿
花里胡哨第一名
展开
-
应急响应2- linux入侵排查
01、检查系统账号 从攻击者的角度来说,入侵者在入侵成功后,往往会留下后门以便再次访问被入侵的系统,而创建系统账号是一种比较常见的后门方式。在做入侵排查的时候,用户配置文件/etc/passwd和密码配置文件/etc/shadow是需要去重点关注的地方 (1)查询特权用户特权用户(uid 为0) awk -F: '$3==0{print $1}' /etc/passwd 注:以冒号进行分割,第三个参数等于0 并且 打印第一个参数 在/etc/passwd中查找 (2)查询可以远程登...原创 2021-06-03 14:33:16 · 330 阅读 · 0 评论 -
应急响应- windows入侵排查
0x01 入侵排查思路 1、查看服务器是否有弱口令,远程管理端口是否对公网开放。 检查方法:据实际情况咨询相关服务器管理员。 2、查看服务器是否存在可疑账号、新增账号 检查方法:打开 cmd 窗口,输入lusrmgr.msc命令(local user manager 本地用户和组),查看是否有新增/可疑的账号,如有管理员群组的(Administrators)里的新增账户,如有,请立即禁用或删除掉。 3、结合日志,查看管理员登录时间、用户名是否存在异常,可输入命令 eventvwr.msc.原创 2021-05-27 14:25:29 · 446 阅读 · 1 评论