应急响应的思路【笔记】2022-4-20

已于 2022-04-20 21:11:13 修改
阅读量632 收藏 4
点赞数
分类专栏: 面试 文章标签: 应急响应 蓝队
于 2022-04-20 21:09:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50854790/article/details/124306632
版权

面试题

文章目录

关于应急响应:

window,

可以先向客户了解发生异常的时间,根据收集到的相关信息来定位可疑文件,筛选出日志进行排查, 删除完可疑文件后,看是否留下定时任务等。
事件查看器,大量登入失败 事件id——4625

https://blog.csdn.net/qq_45825991/article/details/115577680

linux,

awk 筛选出相关日志,筛选非法测试登入的相关ip
,/var/log/目录下的相关日志
定时任务等后门排查

web日志

a、找到中间件的web日志,打包到本地方便进行分析。
b、推荐工具:Window下,推荐用 EmEditor 进行日志分析,支持大文本,搜索效率还不错。
Linux下,使用Shell命令组合查询分析

定位webshell , 分析日志,webshell名【如sss.php】第一次出现的时间来定位入侵时间,

溯源的方法和介绍

溯源方法

攻击源捕获——溯源处置——攻击者画像
攻击源捕获来源
1.审查邮件钓鱼
2.获取安全设备数据进行分析,特别是流量数据;
3.网络资产所在的服务器运行状态;
4.中间件日志信息查看;
5.合理运用蜜罐系统进行溯源追踪。

溯源处置

1.域名查询
2.IP查询
3.身份查询
4.文件查询

攻击者画像

1.攻击路径
2.攻击目的
3.网络代理
4.攻击手法
5.攻击者的身份画像,由四个部分组成,分别是:
虚拟身份:ID、昵称、网名
真实身份:姓名、家庭/办公物理位置
联系方式:手机号、QQ/微信、邮箱
组织情况:单位名称、职位信息

test:
sql注入修复:使用预编译,PDO,正则表达式过滤,开启魔
术引号,加装WAF等

明月清风~~
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
应急响应流程以及入侵排查
renyizou的博客
01-14 5694
归纳转载于: 应急响应的整体思路和基本流程 - FreeBuf网络安全行业门户不管是普通的企业,还是专业的安全厂商,都不可避免的需要掌握和运用好信息安全的知识、技能,以便在需要的时候,能够御敌千里。https://www.freebuf.com/articles/endpoint/192859.html 应急响应之windows入侵排查篇 - FreeBuf网络安全行业门户本文主要讨论windows被入侵后的排查思路。https://www.freebuf.com/articles/network/28
应急响应实战笔记.rar
02-14
应急响应实战笔记,包含入侵排查篇:Windows 入侵排查、Linux 入侵排查、常见的 Webshell 查杀工具、如何发现隐藏的 Webshell 后门、勒索病毒自救指南;日志分析篇:Windows日志分析、Linux日志分析、Web日志分析、...
应急响应-win&linux分析后门&勒索病毒&攻击
mingyqf的博客
12-01 2506
操作系统(windows,linux)应急响应: 1.常见危害:暴力破解,漏洞利用,流量攻击,木马控制(Webshell,PC 木马等),病毒感染(挖矿,蠕虫,勒索等) 2.常见分析:计算机账户,端口,进程,网络,启动,服务,任务,文件等安全问题 常见日志类别及存储: Windows,Linux 补充资料: https://xz.aliyun.com/t/485 应急响应大合集 https://www.secpulse.com/archives/114019.html 最全Windows安全工具锦
应急响应 web日志溯源攻击路径的思路
pierremay的博客
05-02 866
在对WEB日志进行安全分析时,可以按照下面两种思路展开,逐步深入,还原整个攻击过程。 首先确定受到攻击的时间范围,以此为线索,查找这个时间范围内可疑的日志,根据可疑ip、攻击特征等进一步排查(WEB日志会记录客户端对WEB应用的访问请求,这其中包括正常用户的访问请求和攻击者的恶意行为。 通过大量的分析,我们发现攻击者在对网站入侵时,向网站发起的请求中会带有特定的攻击特征,如利用WEB扫描器在对网站进行漏洞扫描时往往会产生大量的404错误日志,当有攻击者对网站进行SQL注入漏洞探测时,WEB访问日志中通常
应急响应思路---linux系统
2301_80127209的博客
12-27 275
如果发现了系统存在异常的流量向外发送,初步判断是攻击者入侵了本台linux服务器,工作人员应该做断网操作,先把服务器的网络断掉,然后在内网的环境下进行逐一排查。(1)禁用或者删除无用的账号,检查特殊账户(可远程登录、用户权限高的账号),必要时禁止远程登录用户登录,只能本地登录,设置多次登录失败锁定账户。(1)首先监测系统的账号安全,例如新增的账号、可疑账号、克隆账号等、隐藏账号,或者查看账号是否存在弱口令。(1)首先监测用户账号安全,比如新增的账号、可疑账号,重点查看可以远程登录的账号以及高权限账号。
应急响应笔记
weixin_46595570的博客
04-15 1133
黑客病毒千千万,人才工具处处有。 攻击威胁早发现,不留后门要根除。 面对各种各样的安全事件,我们该怎么处理? 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 对于病毒入侵,黑客攻击等等我们又知道多少? 所以在现实中会时不时出现不同的人,不同的手段攻击我们,这时我们就需要进行应急响应分析。 目录 分析入侵原因-
应急响应工具集及应急响应实战笔记.zip
08-04
网络安全应急响应工具集及应急响应实战笔记 辅助工具集 进程分析工具集 练手样本集 流量分析工具集 启动项分析工具集 信息收集工具集 专杀工具集 Webshell查杀集 第01章:入侵排查篇 第02章:日志分析篇 第03章:...
应急响应实战笔记_2020最新版.pdf
06-24
整体目录结构共六章,分为技巧篇和实战篇。第1~3章为技巧篇,分别对应入侵排查、日志分析和权限维持,第4~6章为实战篇,包含了Windows/Linux各种病毒木马,web入侵事件溯源处理过程。
应急响应实战笔记.pdf
07-30
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息 系统在短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为...
Arduino学习笔记A4-Arduino软件模拟PWM以及提高软PWM效率.pdf
11-17
Arduino学习笔记A4-Arduino软件模拟PWM以及提高软PWM效率.pdf
最实用的应急响应笔记思路小结
告白的博客
10-13 1609
0x00 事件应急响应的流程分析 事件整个类型大致归类于: 事件表现-信息收集-确认攻击类型-事件追查-修复 1)事件的表现: 网站类型:被篡改,信息丢失,乱码等 文件类型:被篡改,丢失,泄露等 系统类型:系统卡顿,CPU爆满,服务宕机等 流量类型:大量异常数据包,外部连接,网络网速卡顿等 第三方类型:服务异常,运行异常等 2)事件信息收集:windows-linux-MAC 对外服务情况 开放端口情况 系统版本 网络环境 漏洞情况 软件相关平台信息 口令整理收集 具备的防护情况 3)事件攻击类
应急响应应急响应 - 基础介绍篇
网络安全从业者的学习笔记
11-24 2016
勒索病毒危害不言而喻,一旦中了勒索病毒,几乎很难破解,只能通过重装系统,数据备份恢复或者缴纳相应被勒索的比特币支付进行病毒解除。但一般勒索病毒都是通过比特币的方式来进行金额交易,很难溯源的到,所以应对勒索病毒还是要以预防为主,数据备份为辅的方式。挖矿病毒的危害相对于勒索病毒小一些,因为他只是占用你服务器系统的CPU进行挖掘比特币,没有对你的实际利益造成太大威胁,可以通过杀死挖矿进程,排查维权方式(定时任务、隐藏用户等方式),排查被攻击的手段并修复漏洞的方式来应对挖矿病毒。用户信息:/etc/passwd。
应急响应实战笔记——日志分析篇:① Windows 日志分析
君逍遥o
03-27 2805
Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。系统日志记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。
应急响应思路
weixin_64713446的博客
09-19 408
基础的应急响应,小白勿喷,后边接触会不断完善
应急响应的整体思路
weixin_43977912的博客
06-02 408
应急响应的整体思路,就是上层有指导性原则和思想,下层有技能、知识点与工具,共同推进和保障应急响应流程的全生命周期。 原则和指导性思路 3W1H原则:3W即Who、What、Why,1H即How,做应急响应要带着疑问来做事,一定要收集清楚这些信息。网络拓扑是怎么样的?需求是啥?发生了什么事?你能做什么?用户用了什么产品?产品版本多少?病毒库版本多少?多少主机中了?主机是普通PC还是服务器?服务器是做什么的?……信息收集越多,对应急响应越有利。 易失性原则:做应急响应免不了要做信息收集和取证的,但这里是有一定
应急响应—常见应急响应处置思路
浅浅的博客
12-03 6914
下图是常见应急响应处置思路的思维导图 下面将对 "常见应急响应处置思路" 进行详细的讲解 一、操作系统后门排查 排查目标:找出后门程序在哪里,找到后门是怎么启动的,尽可能发现后门修改了系统的那些地方。 Windows常见系统后门排查 1、工具列表 Pchunter 恶意代码检测工具 Process Explorer 恶意代码检测工具 Autorun...
如何做好网络安全应急响应工作?常见应急响应流程_网络安全日常应急响应怎么做
最新发布
xiaoganbuaiuk的博客
04-25 1462
这是我自己对于应急响应归纳出来的方法论,一个笼统的、抽象的概念,包含思路和方法。应急响应的最终目标是保护客户的核心资产,所有行为必须围绕:保护、避害、不损害来进行。在现在愈加复杂的攻击下,上述的常见场景一般会出现复合情况,需要应急人员根据经验去进行。应急人员应有自己的方法论,对不同攻击的威胁建模,拥有威胁情报分析能力,结合工具的辅助进行现场响应与远程支撑。工具和排查点大同小异,提升方法在于应急人员的是否熟悉该种攻击,利用特征和行为去排查更节省时间。
松下CF-R4笔记本用户指南
"松下 CF-R4笔记本说明书" 松下 CF-R4笔记本是一款便携式计算机,该说明书旨在帮助用户了解并正确操作这款设备。在使用前,用户应首先熟悉手册中的"事前准备"部分,这包括了使用须知、使用条件、关于标记的解释以及...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

明月清风~~

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值