自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+
  • 博客(63)
  • 问答 (5)
  • 收藏
  • 关注

原创 应急响应-DDOS-典型案例

某单位遭受DDoS攻击事件如下。

2024-08-16 14:39:46 791

原创 应急响应-DDOS-技术指南

初步预判通常,可从以下几方面判断服务器/主机是否遭受DDoS攻击 查看防火墙、流量监控设备、网络设备等是否出现安全告警或大量异常数据包。如图所示,通过流量对比,发现在异常时间段存在大量UDP数据包,并且与业务无关。 通过安全设备告警发现存在的攻击,图为安全设备监控到的攻击类型、协议、流量大小等信息 查看是否存在特定的服务、页面请求、使服务器/主机无法及时处理所有正常请求。网页无法正常响应,甚至无法打开。如图所示,管理人员发现网站无法正常访问,随后通过web访

2024-08-16 14:38:00 832

原创 应急响应-DDOS-常规处置方法

判断DDoS攻击的类型如果有抗DDoS攻击设备、流量监控设备等,那么我们可以分析设备的流量、告警信息、判断攻击类型;如果没有相关设备,那么我们可以通过抓包、排查设备访问日志信息,判断攻击类型,为采取适当的防御措施提供依据。采取缓解措施确认攻击类型后,我们可以针对当前攻击流量限制访问速率,调整安全设备的防护策略 通过设备的记录信息,对访问异常的IP地址进行封堵 如果流量远远超出出口宽带,建议联系运营商进行流量清洗溯源分析溯源分析一般是通过查看安全设备、流量监控设备、服务器、网络设备上保留的

2024-08-16 14:37:29 518

原创 应急响应-DDOS攻击概述

DDoS攻击是Distributed Denial of Service Attack(分布式拒绝服务攻击)的缩写。在介绍DDoS攻击前,首先要了解一下DDoS攻击(Denial of Service Attack)。DoS表示信息技术中实际上可应用的英特网服务的不可用性,最常见的是数据网络拥塞。这可能是无意造成的,也可能是由于服务器或数据网络其他组件受到集中攻击而引起的。而分布式拒绝服务攻击是一种大规模的DoS攻击,攻击者使用多个IP地址或计算机对目标进行攻击。

2024-08-16 14:36:51 647

原创 应急响应-网页篡改-典型处置案例

该系统部署phpstudy存在后门,以及采用某开源CMS,致使攻击者可以入侵服务器,且一旦入侵即为Administrators组权限。攻击者上传Webshell的时间分别为2019年9月13日和2019年11月6日。2019年11月6日上传Webshell的行为有可能是利用2019年9月20日爆出的phpstudy存在后门这一漏洞入侵的。攻击者上传Webshell后,在2019年10月28日创建隐藏用户tx$,企图通过该用户对服务器进行长久控制。

2024-05-29 09:26:18 1322

原创 应急响应-网页篡改-技术操作只指南

初步判断网页篡改事件区别于其他安全事件地明显特点是:打开网页后会看到明显异常。业务系统某部分出现异常字词网页被篡改后,在业务系统某部分网页可能出现异常字词,例如,出现赌博、色情、某些违法APP推广内容等。2019年4月,某网站遭遇网页篡改,首页产生大量带有赌博宣传地黑链,如图所示。 网站出现异常图片、标语等网页被篡改后,一般会在网站首页等明显位置出现异常图片、标语等。例如,政治攻击者为了宣泄不满,在网页上添加反动标语来进行宣示;还有一些攻击者为了炫耀技术,留下“Hack by 某某

2024-05-28 15:03:04 960

原创 应急响应-网页篡改-常规处置

在进行网页篡改应急响应时,通常需要由应急响应工程师借助安全设备、工具,在配合手动操作才能彻底清除黑链。当发现网页篡改时,可以使用以下处置方法。

2024-05-08 15:38:46 435

原创 应急响应-网页篡改

网页篡改,即攻击者故意篡改网络上传送的保文,通常以入侵系统并篡改数据、劫持网络连接或插入数据等形式进行。网页篡改事件想要做到预先检查和实时防范有一定的难度。网页篡改攻击工具趋向简单化与智能化。由于网络环境复杂,因此导致责任难以追查。虽然目前已经有防火墙、入侵检测等安全方法手段,但各类Web应用系统的复杂性和多样性导致其系统漏洞层出不穷、防不胜防,攻击者入侵和篡改页面的事件时有发生。因此,网页防篡改技术成为信息安全领域研究的焦点之一。

2024-03-12 16:24:39 1221

原创 应急响应-Webshell-典型处置案例

综上,对发现的线索梳理如下:服务器于 2018 年 11 月 23 日被上传了 Webshell 网页木马文件;Web 应用后台存在弱密码;中间件后台存在弱密码;服务器未开启 Web 日志记录功能;服务器于 2018 年 11 月 23 日就存在挖矿木马的恶意程序;服务器于 2018 年 11 月 2 日就被 RDP 暴力破解并被远程登录。

2024-03-11 09:35:48 1201

原创 应急响应-Webshell-技术操作指南

在应急响应时,首先应判断系统是否存在植入Webshell的可能。根据事件发生的时间进行排查,对攻击路径进行溯源分析。如果网站被植入暗链或出现单击链接跳转到其他网站(如博彩网站、色情网站等)的情况,应首先排查网站首页相关js,查看是否被植入了恶意跳转的js。如网站首页被篡改或其他被攻击的现象,则应根据网站程序信息,如程序目录、文件上传目录、war包部署目录,使用工具(如D盾)和搜索关键字(如eval、base64_decode、assert)方式,定位到Webshell文件并清除。

2024-03-10 10:03:37 2104

原创 一次奇特的应急响应

ps:在hosts文件中手动添加了一个域名与其对应的IP地址映射后,操作系统在处理对该域名的请求时,会优先查询hosts文件而不是向DNS服务器发起请求。

2024-03-05 20:00:27 3052 4

原创 应急响应-常规处置办法

网站中被植入Webshell,通常代表着网站中存在可利用的高危漏洞,攻击者利用这些漏洞,将Webshell写入网站,从而获取网站的控制权。一旦在网站中发现webshell文件,可采取以下步骤进行临时处置。

2024-02-26 17:06:28 481

原创 应急响应-Webshell概述

Webshell通常指以JSP、ASP、PHP等网页脚本文件形式存在的一种服务器可执行文件,一般带有文件操作、命令执行功能,是一种网页后门。攻击者在入侵网站后,通常会将Webshell后门文件与网站服务器Web目录下正常的网页文件混子一起,使用浏览器或专用客户端进行连接,从而得到一个服务器操作环境,已到达控制服务器的目的。

2024-02-23 15:47:36 836

原创 应急响应-挖矿木马-典型处置案例

根据上述排查信息总结发现,此次内网服务器所感染的病毒为Nrs Miner挖矿蠕虫病毒。病毒传播的方法:利用“永恒之蓝”漏洞进行传播,传播端口为445。通过收集病毒感染的服务器日志信息,发现最早感染的主机为堡垒机应用服务器,感染时间为2018/11/16 17:48:18。通过收集分析堡垒机应用服务器所有日志信息,排查人为投毒的可能性。

2024-02-22 14:56:32 1569

原创 应急响应-挖矿木马-技术操作指南

判断是否遭遇挖矿木马,通常采用以下3种方法。

2024-02-17 15:33:36 1685

原创 应急响应-挖矿木马-常规处置方法

挖矿木马常见的清除过程如下。

2024-02-15 08:31:10 559

原创 应急响应-挖矿木马-常规处置方法

挖矿木马常见的清除过程如下。

2024-02-11 10:23:38 480

原创 应急响应-挖矿木马

挖矿的英语为Mining,早期主要与比特币相关。用户使用个人计算机下载软件,然后运行特定算法,与远方服务器通信后可得到相应比特币。挖矿就是利用比特币挖矿机赚取比特币。挖矿木马是利用各种方法入侵计算机,利用被入侵计算机的算力挖掘加密数字货币以牟取利益的木马。其即可以是一段自动化扫描、攻击的脚本,也可以集成在单个可执行文件中。挖矿木马为了能给长期在服务器中驻留,会采用多种安全对抗技术,如修改任务计划、修改防火墙配置、修改系统动态链接库等,使用这些技术手段严重时可能造成服务器业务中断。

2024-02-05 21:31:19 1084

原创 应急响应-勒索病毒典型处置案例

服务器感染Globelmposter勒索病毒事件背景2020年5月,某公司内外服务器遭遇勒索病毒攻击,应急响应工程师在抵达现场后,对包含服务器在内的13太机器进行系统排查和日志分析。事件处置勒索病毒初步判定首先,对其中一台感染勒索病毒的主机A(源地址为192.168.111.129)进行排查,通过勒索信确认为GlobeImposter勒索病毒,如图所示。 在本地桌面及磁盘发现加密文件后缀为.RESERVE,如图所示。 系统排查主机账号通过

2024-02-04 13:54:10 1414

原创 应急响应-技术操作指南

使用【lastlog】命令,可查看系统中所有用户最后登录信息。如图所示,只有root用户在7月12日登录过系统,其他用户为登录过。由此,可根据登录IP地址和登录时间进一步溯源分析。

2024-02-02 16:41:00 1012

原创 应急响应-勒索病毒常用工具

Wannacry(ms17-010) :解密工具:https://habo.qq.com/tool/detail/searchdky。TeslaCrypt:解密工具:https://habo.qq.com/tool/detail/teslacrypt。Allcry:解密工具:https://habo.qq.com/tool/detail/allcrykiller。ALLcry:解密工具:https://habo.qq.com/tool/detail/allcrykiller。【火绒】勒索病毒解密工具集合。

2024-02-01 09:48:54 1063

原创 应急响应-错误处置方法

使用移动存储设备错误操作在确认服务器/主机感染勒索病毒后,在中毒服务器/主机上使用U盘、移动硬盘等移动存储设备。错误原理勒索病毒会对感染服务器/主机上的所以文件进行加密,所以当插上U盘、移动硬盘等移动存储设备时,也会立即对其存储的内容进行加密,从而使损失扩大。读/写“中招”服务器/主机中的磁盘文件错误操作在确认服务器/主机感染勒索病毒后,轻信网上的各种解密方法或工具,反复读/写磁盘中的文件,反而降低数据正确恢复的概率。错误原理很多流行的勒索病毒的基本加密过程为:首先,将保存在磁

2024-02-01 09:48:23 394

原创 应急响应-常规处置方法

在勒索病毒的处置上,通常需要应急响应工程师采取手动处置与专业查杀工具相结合的方法。当发现勒索病毒后,可以参考使用以下处置方法。

2024-01-31 08:53:50 367

原创 应急响应-勒索病毒概述

勒索病毒是伴随数字货币兴起的一种新型病毒木马,机器一旦遭受勒索病毒攻击,将会使绝大多数文件被加密算法修改,并添加一个特殊的后缀,且受害者无法读取原本正常的文件,从而造成无法估量的损失。勒索病毒通常利用非对称加密算法和对称加密算法组合的形式来加密文件。绝大多数勒索病毒均无法通过技术手段解密,必须拿到对应的解密私钥才有可能无损还原被加密文件。攻击者正是通过这样的行为向受害者勒索高昂的赎金,这些赎金必须通过数字货币支付,一般无法溯源,因此危害巨大。

2024-01-30 09:42:47 1298

原创 应急响应-常用工具介绍

在网络安全应急响应中可使用的工具很多,以下介绍部分常用工具。

2024-01-29 16:34:06 1636

原创 应急响应-威胁情报

在应急响应中,威胁情报类似一个多维度的知识库,可以对以往相似的恶意元素进行查询。很多时候,结合威胁情报可以从对维度快速地了解攻击者的信息。SANS研究院对威胁情报的定义是,针对安全威胁、威胁者、利用、恶意软件、漏洞和危害指标,所收集的用于评估和应用的数据集。Gartner对威胁情报的定义是,基于证据的知识,包括上下文、机制、指标、隐含和可操作的建议,针对一个现存的或新兴的威胁,可用于做出相应决定的知识。 David J.Bianco 在The Pyramid of Pain中对不同类型的威胁情报及其在攻防

2024-01-29 16:33:17 528

原创 应急响应-流量分析

在应急响应中,有时需要用到流量分析工具,。当需要看到内部流量的具体情况时,就需要我们对网络通信进行抓包,并对数据包进行过滤分析,最常用的工具是Wireshark。

2024-01-28 09:54:45 862

原创 应急响应-内存分析

在应急响应过程中,除了上述几个通用的排查项,有时也需要对应响应服务器进行内存的提权,从而分析其中的隐藏进程。

2024-01-28 09:54:07 524

原创 应急响应-Linux-日志分析

Linux系统中的日志一般存放在目录"/var/log"下,具体的日志功能如下。/var/log/wtmp:记录登录进入、退出、数据交换、关机和重启,即last。/var/log/cron:记录与定时任务相关的日志信息。/var/log/messages:记录系统启动后的信息和错误日志。/var/log/apach2/access.log:记录apache的访问日志。/var/log/auth.log:记录系统授权日志,包括用户登录和使用的权限机制等。

2024-01-27 09:37:39 1212

原创 应急响应-windows-日志分析

日志概述在windows系统中,日志文件包括:系统日志、安全性日志及应用程序日志,对于应急响应工程师来说这三类日志需要熟练掌握,其位置如下。

2024-01-26 08:34:23 1173

原创 应急响应-Windwos-文件痕迹排查

这种优化技术也被用应用到软件上,系统对每个应用软件的前几次启动情况进行分析,然后创建一个描述应用需求的虚拟“内存映像”,并把这种信息保存到Windows\Prefetch文件夹中,一般,在windows7系统中可以记录最近128个可执行文件的信息,在windows8到windos10系统中可以记录1024个可执行文件。有些恶意程序释放字体(即恶意程序运行时投放出的文件)一般会在程序中写好投放的路径,由于不同系统版本的路径有所差别,但是临时文件的路径相对统一,因此在程序中写好的路径一般是临时目录。

2024-01-25 09:48:20 986

原创 应急响应-Linux-文件痕迹排查

Linux系统铭感目录如下。

2024-01-25 09:46:48 1104

原创 应急响应-Linux-服务排查

Linux系统铭感目录如下。

2024-01-24 13:42:08 1005

原创 应急响应-Windows-服务排查

服务可以理解为运行在后台的进程。这些服务可以在计算机启动时自动启动,也可以暂停和重新启动,而且不显示任何用户界面。服务非常适合在服务器上使用,通常在为了不影响在同一台计算机上工作的其他用户,且需要长时间运行功能时使用。在应急响应排查过程中,服务作为一种运行在后台的进程,是恶意软件常用的驻留方法。

2024-01-24 13:41:26 358

原创 应急响应-Linux-服务排查

查看系统运行服务在命令行中输入【chkconfig --list】命令,可以查看系统运行的服务,如图所示 其中,0、1、2、3、4、5、6表示等级,具体含义如下: 1表示单用户模式 2表示无网络连接的多用户命令行模式 3表示有网络连接的多用户命令行模式 4表示不可以 5表示带图形界面的多用户模式 6表示重新启动 使用【service --status-all 】命令,可查看所有服务状态,如图所示。

2024-01-24 13:40:27 366

原创 应急响应-Windows-进程排查

进程(process)是计算机中的程序关于某数据集合上的一次运动活动,是系统进行资源分配和调度的基本单位,是操作系统结果的基础。在早期面向进程结构中,进程是线程的容器。无论是在Windows系统还是Linux系统中,主机在感染恶意程序后,恶意程序都会启动相应的进程,来完成相关的恶意操作,有的恶意进程为了能够不被查杀,还会启动相应的守护进行对恶意进程进行守护。对于windows系统中的进程排查,主要是找到恶意进程的PID、程序路径,有时还需要找到PPID(PID的父进程)及程序加载的DLL。

2024-01-23 15:56:48 1190

原创 应急响应-Linux-进程排查

命令行在命令行中输入【netstat】网络连接命令,可分析可疑端口、可疑地址、可疑PID及程序进程。如图所示,PID为2963的进程存在恶意外联情况 根据PID值,利用【ls -alt /proc/PID】命令,可查看其对应的可执行程序。如图所示,使用【ls -alt /proc/2963】命令,可查看PID为2963的进程的可执行程序。 也可利用【lsof-p PID】命令,查看进程所打开的文件,如图所示,使用【lsof -p 2963】命令,可查看PID为2953的进程所

2024-01-22 18:36:34 746

原创 应急响应-windows-系统排查

系统排查在进行受害主机排查时,首先要对主机系统进行基本排查,方便对受害主机有一个初步的了解。系统基本信息Windows系统 在基础排查时,可以使用Microsoft系统信息工具(Msinfo32.exe),他是Microsoft Windows NT诊断工具(Winmsd.exe)的更新版本。 系统信息工具 在命令行中输入【msinfo32】命令,打开【系统信息】窗口,如图所示,可以显示本地计算机的硬件资源、组件和软件环境的信息。除了各方面的概述信息,还可以对

2024-01-21 09:21:51 1255

原创 应急响应-linux-系统排查

在命令行输入【lastlog】命令,可查看系统中所以用户最后的登录信息,如图所示。

2024-01-19 13:38:44 430

原创 应急响应基本概念

应急响应,英文为Incident Response 或 Emergency Response,通常是指一个组织为了应对各种意外事件所做的准备,已经在事件发送后所采取的措施。其目的是为减少突发事件造成的损失,包括人民群众的生命、财产损失,国家和企业的损失,已经相应的社会不良影响等。基本概念 是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全。网络安全应急响应主要是为了人们对网络安全有所认识、有所准备,以便在遇到突发网络安全事件时做的有序应对、妥善处理。 应急响应主要包括两方

2024-01-19 13:36:04 928

基于pikachu靶场总结

个人对pikachu靶场总结

2023-02-24

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除