- 博客(11)
- 收藏
- 关注
RSS订阅原创 ddos木马取证
ddos木马分析在流量监测中,发现一台linux服务器不断向外网发起连接,域名为可疑c2服务器。于是针对此服务器开始排查。在网络连接中发现恶意外联对应的进程为7856查看进程发现两个为tflinuxtd的进程在Linux文件中找到了恶意启动项查杀方法kill -9 7854kill -9 7856rm /etc/tflinuxtd删除/etc/rc.local中的 “/e...
2019-06-27 10:36:20
450
原创 内网ARP病毒流量分析
内网ARP病毒制作1.什么是ARP攻击ARP协议是以广播方式发送ARP请求的,只要是同一个网段内主机都可以收到,这就为攻击者以可乘之机,攻击者可以发送大量的ARP请求包,阻塞正常网络宽带,使局域网中有限的网络资源被无用的广播信息所占用,造成网络拥堵;其次ARP协议没有安全认证机制,因为局域网内主机是建立在信任的基础上的,所以只要主机接收到ARP应答包,都会缓存在ARP表中,这就为ARP欺骗提供...
2019-06-19 14:13:42
842
原创 Linux服务搭建
Samba是著名的开源软件项目之一,它在Linux/UNIX系统中实现了微软的SMB/CIFS网络协议,从而使得跨平台的文件共享变得更加容易。如需实现windows和linux之间共享资源,samba无疑是最好的选择。安装 [root@localhost]#yum install samba -y主要配置文件/etc/samba/smb.conf //是sa...
2019-05-29 15:39:29
171
原创 sqlmap常用参数总结
sqlmap常用参数总结1.判断是否存在注入sqlmap.py -u “URL” 判断url中的参数是否存在注入,url包含多个参数sqlmap.py -u URL 判断url中的参数是否存在注入,url包含一个参数sqlmap.py -r xxx.txt 判断text文本中的http请求包是否存在注入,包括请求包里的所有参数2.获取数据库名sqlma...
2019-05-27 11:41:59
458
原创 使用宏病毒反弹shell
宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。从此以后,所有自动保存的文档都会“感染”上这种宏病毒,而且如果其他用户打开了感染病毒的文档,宏病毒又会转移到他的计算机上。那么,宏病毒是如何产生的呢?准备环境kali 攻击机win7 靶机生成payload使用kali虚拟机,输入以下...
2019-05-23 14:09:52
894
1
原创 如何通过redis未授权访问漏洞反弹shell
如何通过redis未授权访问漏洞反弹shell1.搭建redis服务器和客户端我用centos作为靶机,用kali作为攻击方来进行实验。 下载,解压,编译:$ wget http://download.redis.io/releases/redis-4.0.10.tar.gz$ tar xzf redis-4.0.10.tar.gz$ mv redis-4.0.10 /usr/loc...
2019-05-20 13:44:00
1445
原创 Linux应急响应之进程排查篇
Linux应急响应之进程排查篇木马执行后,必然出现一个恶意进程。那么,该如何寻找这个进程呢?我是通过这四个特征判断(1)进程占用cpu,内存耗能高。(2)进程运行时间,开始时间,差异化明显(3)进程路径,使用命令参数异常(4)多数病毒会替换系统命令1.ps -auxUSER 哪个用户启动了这个命令PID 进程IDCPU CPU占用率MEM 内存使用量VSZ 如果一个程序完...
2019-05-20 11:58:12
765
原创 Linux应急响应之挖矿篇
Linux应急响应之挖矿篇Linux服务器经常受到挖矿木马的骚扰,严重影响服务器的正常使用。那么安全人员遇到这类问题该如何解决呢?首先了解一下什么是挖矿每隔一个时间点,比特币系统会在系统节点上生成一个随机代码,互联网中的所有计算机都可以去寻找此代码,谁找到此代码,就会产生一个区块。而比特币的发行是基于奖励的,每促成一个区块的生成,该节点便获得相应奖励,这样大家就有动力投入资金去维护整个交易网...
2019-05-20 11:37:35
1094
原创 Linux应急响应之开机启动项篇
Linux应急响应之开机启动项篇一般来说,病毒在启动之后为了防止肉鸡关机重启,很有可能会设置恶意的开机启动项,那么如何针对Linux的开机启动项做全面排查呢?确切来说应该排查哪些文件呢?1./etc/rc.local/etc/rc.local是/etc/rc.d/rc.local的软连接,该脚本是在系统初始化级别脚本运行之后再执行的,想要/etc/rc.local起作用必须chmod +x ...
2019-05-20 10:58:26
1372
原创 Linux应急响应之计划任务篇
Linux应急响应之计划任务篇定时任务涉及到两个服务,分别是cron和anacron。anacron侦测停机期间应该进行但是并没有进行的crontab 任务,并将该任务执行一遍。他们的日志记录在/var/log/cron下。另外,cp /usr/share/zoneinfo/Asia/Shanghai /etc/localtime 可设置系统时间1.常用命令列出某个用户的cron服务c...
2019-05-20 10:45:10
610
原创 Linux应急响应之账号检查篇
Linux应急响应之账号检查篇账号检查是应急响应中必不可少的一环,通过账号检查,可以了解有没有异常账号以及是否留下后门。那么,究竟需要检查哪些文件呢?1.用户信息文件/etc/passwd文件内容分别是:用户名:密码:用户ID:组ID:用户说明:家目录:登陆之后shell注意:无密码只允许本机登陆,远程不允许登陆⑴查询特权用户:cat/etc/passwd |awk -F: ‘$3=...
2019-05-20 10:09:44
1045
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人