应急响应
文章平均质量分 83
Ly4j
他很懒,还没有添加简介
展开
-
分享一个应急响应web日志:access.log文件分析小工具
有时做应急响应的时候,需要提取web日志如access.log日志文件来分析系统遭受攻击的具体原因,由于开源的工具并不是很好用,所以自己用Python写了一个简单的日志分析工具原创 2023-03-08 09:21:09 · 4059 阅读 · 1 评论 -
Linux后门排查
目录文件排查查看历史命令记录特殊权限文件查找进程排查日志排查入侵检测工具——GScan文件排查查看开机启动项,是否存在可疑启动项systemctl list-unit-files |grep enabled查看历史命令记录history|more或more /root/.bash_history当时,当我们执行上面那两条历史命令的时候就会发现,结果不一样,history的内容比history多。因为bash执行命令时不是马上把命令名称写入.bas原创 2021-07-12 18:14:55 · 7871 阅读 · 0 评论 -
应急响应之windows日志排查
windows日志分类系统日志 记录操作系统组件产生的事件,主要包括操作系统驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等事件。系统日志中记录的时间类型由Windows NT/2K操作系统预先定义。默认位置:%SystemRoot%\System32\Winevt\Logs\System.evtx应用程序日志 包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件,例如数据库程序可以在应用程序日志中记录文件错误,程序开发人员可以自行决定监视哪些事件。如...原创 2021-07-08 17:11:12 · 6981 阅读 · 1 评论 -
应急响应之windows系统信息排查
目录环境变量查看windows计划任务排查可疑账号排查查看当前系统用户会话查看系统版本和补丁信息环境变量查看我的电脑 -》属性 -》 高级系统设置 -》高级 -》环境变量查看一下其中是否存在一些可疑的环境变量信息,重点可以看下path中。windows计划任务排查查看是否存在可疑的计划任务我的电脑右键管理 -》任务计划程序 -》 任务计划程序库1. 计划任务创建可参考:https://jingyan.baidu.com/article/ca00d5原创 2021-07-07 17:09:52 · 5544 阅读 · 0 评论 -
应急响应之windows进程排查
#查看已建立的连接netstat -ano | findstr "ES" 或 netstat -b#根据pid定位程序tasklist | findstr PID号#获取程序路径wmic process | findstr 程序名#终止进程taskkill /f /pid pid号1. 查看网络连接netstat命令的功能是显示网络连接、路由表和网络接口信息,可以让用户得知目前都有哪些网络连接正在运作。netstat [选项]命令中各选项的含义如下:-a ..原创 2021-07-05 14:54:00 · 7202 阅读 · 0 评论 -
应急响应之apache日志分析及web后门排查
目录WEB日志Apache日志日志分析工具webshell检测工具应急响应中很重要的就是能够进行日志分析,所以需要我们能够看懂日志,根据日志信息去判断是否存在攻击行为,我们先看下常见的web服务器的日志文件位置。WEB日志Web访问日志记录了Web服务器接收处理请求及运行时错误等各种原始信息。通过对WEB日志进行的安全分析,不仅可以帮助我们定位攻击者,还可以帮助我们还原攻击路径,找到网站存在的安全漏洞并进行修复。常见的服务搭建平台如下:Apache日志日志文件路径原创 2021-07-02 17:58:04 · 7619 阅读 · 3 评论