- 博客(56)
- 问答 (5)
- 收藏
- 关注
RSS订阅原创 应急响应-网页篡改
网页篡改,即攻击者故意篡改网络上传送的保文,通常以入侵系统并篡改数据、劫持网络连接或插入数据等形式进行。网页篡改事件想要做到预先检查和实时防范有一定的难度。网页篡改攻击工具趋向简单化与智能化。由于网络环境复杂,因此导致责任难以追查。虽然目前已经有防火墙、入侵检测等安全方法手段,但各类Web应用系统的复杂性和多样性导致其系统漏洞层出不穷、防不胜防,攻击者入侵和篡改页面的事件时有发生。因此,网页防篡改技术成为信息安全领域研究的焦点之一。
2024-03-12 16:24:39
931
原创 应急响应-Webshell-典型处置案例
综上,对发现的线索梳理如下:服务器于 2018 年 11 月 23 日被上传了 Webshell 网页木马文件;Web 应用后台存在弱密码;中间件后台存在弱密码;服务器未开启 Web 日志记录功能;服务器于 2018 年 11 月 23 日就存在挖矿木马的恶意程序;服务器于 2018 年 11 月 2 日就被 RDP 暴力破解并被远程登录。
2024-03-11 09:35:48
493
原创 应急响应-Webshell-技术操作指南
在应急响应时,首先应判断系统是否存在植入Webshell的可能。根据事件发生的时间进行排查,对攻击路径进行溯源分析。如果网站被植入暗链或出现单击链接跳转到其他网站(如博彩网站、色情网站等)的情况,应首先排查网站首页相关js,查看是否被植入了恶意跳转的js。如网站首页被篡改或其他被攻击的现象,则应根据网站程序信息,如程序目录、文件上传目录、war包部署目录,使用工具(如D盾)和搜索关键字(如eval、base64_decode、assert)方式,定位到Webshell文件并清除。
2024-03-10 10:03:37
1056
原创 一次奇特的应急响应
ps:在hosts文件中手动添加了一个域名与其对应的IP地址映射后,操作系统在处理对该域名的请求时,会优先查询hosts文件而不是向DNS服务器发起请求。
2024-03-05 20:00:27
1277
2
原创 应急响应-常规处置办法
网站中被植入Webshell,通常代表着网站中存在可利用的高危漏洞,攻击者利用这些漏洞,将Webshell写入网站,从而获取网站的控制权。一旦在网站中发现webshell文件,可采取以下步骤进行临时处置。
2024-02-26 17:06:28
450
原创 应急响应-Webshell概述
Webshell通常指以JSP、ASP、PHP等网页脚本文件形式存在的一种服务器可执行文件,一般带有文件操作、命令执行功能,是一种网页后门。攻击者在入侵网站后,通常会将Webshell后门文件与网站服务器Web目录下正常的网页文件混子一起,使用浏览器或专用客户端进行连接,从而得到一个服务器操作环境,已到达控制服务器的目的。
2024-02-23 15:47:36
752
原创 应急响应-挖矿木马-典型处置案例
根据上述排查信息总结发现,此次内网服务器所感染的病毒为Nrs Miner挖矿蠕虫病毒。病毒传播的方法:利用“永恒之蓝”漏洞进行传播,传播端口为445。通过收集病毒感染的服务器日志信息,发现最早感染的主机为堡垒机应用服务器,感染时间为2018/11/16 17:48:18。通过收集分析堡垒机应用服务器所有日志信息,排查人为投毒的可能性。
2024-02-22 14:56:32
1017
原创 应急响应-挖矿木马
挖矿的英语为Mining,早期主要与比特币相关。用户使用个人计算机下载软件,然后运行特定算法,与远方服务器通信后可得到相应比特币。挖矿就是利用比特币挖矿机赚取比特币。挖矿木马是利用各种方法入侵计算机,利用被入侵计算机的算力挖掘加密数字货币以牟取利益的木马。其即可以是一段自动化扫描、攻击的脚本,也可以集成在单个可执行文件中。挖矿木马为了能给长期在服务器中驻留,会采用多种安全对抗技术,如修改任务计划、修改防火墙配置、修改系统动态链接库等,使用这些技术手段严重时可能造成服务器业务中断。
2024-02-05 21:31:19
918
原创 应急响应-勒索病毒典型处置案例
服务器感染Globelmposter勒索病毒事件背景2020年5月,某公司内外服务器遭遇勒索病毒攻击,应急响应工程师在抵达现场后,对包含服务器在内的13太机器进行系统排查和日志分析。事件处置勒索病毒初步判定首先,对其中一台感染勒索病毒的主机A(源地址为192.168.111.129)进行排查,通过勒索信确认为GlobeImposter勒索病毒,如图所示。 在本地桌面及磁盘发现加密文件后缀为.RESERVE,如图所示。 系统排查主机账号通过
2024-02-04 13:54:10
958
原创 应急响应-技术操作指南
使用【lastlog】命令,可查看系统中所有用户最后登录信息。如图所示,只有root用户在7月12日登录过系统,其他用户为登录过。由此,可根据登录IP地址和登录时间进一步溯源分析。
2024-02-02 16:41:00
909
原创 应急响应-勒索病毒常用工具
Wannacry(ms17-010) :解密工具:https://habo.qq.com/tool/detail/searchdky。TeslaCrypt:解密工具:https://habo.qq.com/tool/detail/teslacrypt。Allcry:解密工具:https://habo.qq.com/tool/detail/allcrykiller。ALLcry:解密工具:https://habo.qq.com/tool/detail/allcrykiller。【火绒】勒索病毒解密工具集合。
2024-02-01 09:48:54
768
原创 应急响应-错误处置方法
使用移动存储设备错误操作在确认服务器/主机感染勒索病毒后,在中毒服务器/主机上使用U盘、移动硬盘等移动存储设备。错误原理勒索病毒会对感染服务器/主机上的所以文件进行加密,所以当插上U盘、移动硬盘等移动存储设备时,也会立即对其存储的内容进行加密,从而使损失扩大。读/写“中招”服务器/主机中的磁盘文件错误操作在确认服务器/主机感染勒索病毒后,轻信网上的各种解密方法或工具,反复读/写磁盘中的文件,反而降低数据正确恢复的概率。错误原理很多流行的勒索病毒的基本加密过程为:首先,将保存在磁
2024-02-01 09:48:23
369
原创 应急响应-常规处置方法
在勒索病毒的处置上,通常需要应急响应工程师采取手动处置与专业查杀工具相结合的方法。当发现勒索病毒后,可以参考使用以下处置方法。
2024-01-31 08:53:50
338
原创 应急响应-勒索病毒概述
勒索病毒是伴随数字货币兴起的一种新型病毒木马,机器一旦遭受勒索病毒攻击,将会使绝大多数文件被加密算法修改,并添加一个特殊的后缀,且受害者无法读取原本正常的文件,从而造成无法估量的损失。勒索病毒通常利用非对称加密算法和对称加密算法组合的形式来加密文件。绝大多数勒索病毒均无法通过技术手段解密,必须拿到对应的解密私钥才有可能无损还原被加密文件。攻击者正是通过这样的行为向受害者勒索高昂的赎金,这些赎金必须通过数字货币支付,一般无法溯源,因此危害巨大。
2024-01-30 09:42:47
984
原创 应急响应-威胁情报
在应急响应中,威胁情报类似一个多维度的知识库,可以对以往相似的恶意元素进行查询。很多时候,结合威胁情报可以从对维度快速地了解攻击者的信息。SANS研究院对威胁情报的定义是,针对安全威胁、威胁者、利用、恶意软件、漏洞和危害指标,所收集的用于评估和应用的数据集。Gartner对威胁情报的定义是,基于证据的知识,包括上下文、机制、指标、隐含和可操作的建议,针对一个现存的或新兴的威胁,可用于做出相应决定的知识。 David J.Bianco 在The Pyramid of Pain中对不同类型的威胁情报及其在攻防
2024-01-29 16:33:17
397
原创 应急响应-流量分析
在应急响应中,有时需要用到流量分析工具,。当需要看到内部流量的具体情况时,就需要我们对网络通信进行抓包,并对数据包进行过滤分析,最常用的工具是Wireshark。
2024-01-28 09:54:45
623
原创 应急响应-Linux-日志分析
Linux系统中的日志一般存放在目录"/var/log"下,具体的日志功能如下。/var/log/wtmp:记录登录进入、退出、数据交换、关机和重启,即last。/var/log/cron:记录与定时任务相关的日志信息。/var/log/messages:记录系统启动后的信息和错误日志。/var/log/apach2/access.log:记录apache的访问日志。/var/log/auth.log:记录系统授权日志,包括用户登录和使用的权限机制等。
2024-01-27 09:37:39
980
原创 应急响应-windows-日志分析
日志概述在windows系统中,日志文件包括:系统日志、安全性日志及应用程序日志,对于应急响应工程师来说这三类日志需要熟练掌握,其位置如下。
2024-01-26 08:34:23
866
原创 应急响应-Windwos-文件痕迹排查
这种优化技术也被用应用到软件上,系统对每个应用软件的前几次启动情况进行分析,然后创建一个描述应用需求的虚拟“内存映像”,并把这种信息保存到Windows\Prefetch文件夹中,一般,在windows7系统中可以记录最近128个可执行文件的信息,在windows8到windos10系统中可以记录1024个可执行文件。有些恶意程序释放字体(即恶意程序运行时投放出的文件)一般会在程序中写好投放的路径,由于不同系统版本的路径有所差别,但是临时文件的路径相对统一,因此在程序中写好的路径一般是临时目录。
2024-01-25 09:48:20
880
原创 应急响应-Windows-服务排查
服务可以理解为运行在后台的进程。这些服务可以在计算机启动时自动启动,也可以暂停和重新启动,而且不显示任何用户界面。服务非常适合在服务器上使用,通常在为了不影响在同一台计算机上工作的其他用户,且需要长时间运行功能时使用。在应急响应排查过程中,服务作为一种运行在后台的进程,是恶意软件常用的驻留方法。
2024-01-24 13:41:26
325
原创 应急响应-Linux-服务排查
查看系统运行服务在命令行中输入【chkconfig --list】命令,可以查看系统运行的服务,如图所示 其中,0、1、2、3、4、5、6表示等级,具体含义如下: 1表示单用户模式 2表示无网络连接的多用户命令行模式 3表示有网络连接的多用户命令行模式 4表示不可以 5表示带图形界面的多用户模式 6表示重新启动 使用【service --status-all 】命令,可查看所有服务状态,如图所示。
2024-01-24 13:40:27
339
原创 应急响应-Windows-进程排查
进程(process)是计算机中的程序关于某数据集合上的一次运动活动,是系统进行资源分配和调度的基本单位,是操作系统结果的基础。在早期面向进程结构中,进程是线程的容器。无论是在Windows系统还是Linux系统中,主机在感染恶意程序后,恶意程序都会启动相应的进程,来完成相关的恶意操作,有的恶意进程为了能够不被查杀,还会启动相应的守护进行对恶意进程进行守护。对于windows系统中的进程排查,主要是找到恶意进程的PID、程序路径,有时还需要找到PPID(PID的父进程)及程序加载的DLL。
2024-01-23 15:56:48
751
原创 应急响应-Linux-进程排查
命令行在命令行中输入【netstat】网络连接命令,可分析可疑端口、可疑地址、可疑PID及程序进程。如图所示,PID为2963的进程存在恶意外联情况 根据PID值,利用【ls -alt /proc/PID】命令,可查看其对应的可执行程序。如图所示,使用【ls -alt /proc/2963】命令,可查看PID为2963的进程的可执行程序。 也可利用【lsof-p PID】命令,查看进程所打开的文件,如图所示,使用【lsof -p 2963】命令,可查看PID为2953的进程所
2024-01-22 18:36:34
448
原创 应急响应-windows-系统排查
系统排查在进行受害主机排查时,首先要对主机系统进行基本排查,方便对受害主机有一个初步的了解。系统基本信息Windows系统 在基础排查时,可以使用Microsoft系统信息工具(Msinfo32.exe),他是Microsoft Windows NT诊断工具(Winmsd.exe)的更新版本。 系统信息工具 在命令行中输入【msinfo32】命令,打开【系统信息】窗口,如图所示,可以显示本地计算机的硬件资源、组件和软件环境的信息。除了各方面的概述信息,还可以对
2024-01-21 09:21:51
852
原创 应急响应基本概念
应急响应,英文为Incident Response 或 Emergency Response,通常是指一个组织为了应对各种意外事件所做的准备,已经在事件发送后所采取的措施。其目的是为减少突发事件造成的损失,包括人民群众的生命、财产损失,国家和企业的损失,已经相应的社会不良影响等。基本概念 是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全。网络安全应急响应主要是为了人们对网络安全有所认识、有所准备,以便在遇到突发网络安全事件时做的有序应对、妥善处理。 应急响应主要包括两方
2024-01-19 13:36:04
491
原创 6.应急响应-产品-hw
概念英文是Incident Response 或 Emergency Response 等,通常是指一个组织为了应对各种意外事件发生前所做的准备,以及在意外事件发生后所采取的措施网络安全应急响应是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全。网络安全应急响应主要是为了让人们对网络安全有所认识,有所准备,以便在遇到突发的网络安全事件时能够做到有序应对,妥善处理。作用和意义未雨绸缪。
2023-08-28 09:04:35
57
原创 5.应急响应-勒索病毒
应急响应数据恢复事件判断临时处置禁止使用U盘、移动硬盘对未感染的主机进行隔离,打补丁信息收集与分析获取样本信息文件排查(加密文件有什么,exe文件不会加密)进程排查日志排查事件处置断网隔离重装打补丁事件防御加固防御(购买设备,如流量监控设备)事件处置网络排查netstat -ano通过PID查看程序执行目录wmic process where processid=2984 get name,executablepat
2023-08-07 09:00:07
46
原创 4.模拟攻击
查看 options(要求为yes的为必填项)攻击机:kali(192.168.1.1)靶机:win7(192.168.1.2)先获取个病毒,明确其路径。通过upload上传文件。使用永痕之蓝进行攻击。
2023-08-07 08:59:20
44
原创 3.勒索病毒
简介勒索病毒,是一种电脑病毒,主要以邮件、程序木马、网页挂马等形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密(90%无法解密),必须拿到解密的私钥才有可能破解;勒索病毒通常使用非对称和对称加密算法组合的形式来加密文件(https采用这种算法),绝大部分勒索病毒均无法通过技术手段破解,一般无法溯源,危害巨大。
2023-08-07 08:55:31
119
1
原创 网络安全面试题
漏洞的出现就在这里,AES是一个一个硬编码,有默认密钥,如果程序员没有修改或者很简单,那么就可以重构cookie,先构造恶意代码,在将代码序列化,然后AES加密(前提为密钥已经爆破出来),在进行base64编码,形成我们的cookie,服务器在处理时就会按照刚才的处理流程,在服务器端触发恶意代码。而服务器对cookie的处理流程是先获取浏览器上保存的cookie,然后将其base64解码,在进行AES解密,在将其反序列化进行校验。__construct() ,类的构造函数,当对象被创建时调用。
2023-06-22 19:51:45
122
1
python爬虫相对路径和绝对路径
2023-05-06
如何对图一进行有一对多变为一对一
2022-04-29
请问怎样将这些数据一个一个的取出来
2022-02-07
请问需要获取登录后的内容,是在cookies吗,应该怎么加呢
2022-01-29
scrapy 爬虫 运行没反应
2022-01-10
在选择是否继续时,输人1的时候,应该结束了,为什么最后还要输入一次
2021-07-18
TA创建的收藏夹 TA关注的收藏夹
TA关注的人