![](https://img-blog.csdnimg.cn/20201014180756925.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
应急响应
文章平均质量分 76
告白热
遨游在网安界的白帽子小白
展开
-
应急响应-Windows挖矿实战
初步判定为192.168主机的rdp爆破进入本主机,主机存在木马文件,且存在计划任务,后门,映像劫持用来权限维持,将相关病毒查杀删除后,全班主机查杀后,重启观察未发现cpu异样。相关的192.168主机需进行下一步的应急处置。原创 2023-09-10 12:25:58 · 528 阅读 · 1 评论 -
应急响应-勒索病毒的处理思路
再去做溯源,攻击复现等,比起解密被勒索的文件,理清攻击者的攻击路径最为重要,以便下次将危害防范为未然。1.判断勒索家族种类,一般被加密后加密文档都存在一定的后缀,可以将改后缀上传到国内的勒索病毒平台分析,会给出相关的样本家族,以及少部分会提供有解密方案,但是大多数情况下难以解决。3.在公开的网络上,github,其他盈利渠道搜索是否有解密方案,否则将支付赎金,在主机服务器没有很大的价值下,可以重置服务器等。REvil勒索软件操作,又名Sodinokibi,是一家臭名昭著的勒索软件即服务 (RaaS)原创 2023-08-06 20:27:56 · 603 阅读 · 0 评论 -
应急响应-linux挖矿病毒的实战处置
将该文件上传沙箱检测,确定为木马程序,且为内容存在条件竞争,且调用多种终端,行为非常正常文件,在Linux系统中查找并终止与指定关键词相关的进程。查询初次访问config.jsp后门程序的时间,同时观察到在该木马文件访问的前几次,攻击者成功访问了st2框架的.sction页面,疑似通过st2漏洞进入并植入木马,后通过模拟攻击者行为证实改主机存在st2漏洞。初步分析得知,该主机通过web服务被入侵,攻击者通过st2漏洞植入木马,获取web权限后植入挖矿木马文件,并设置定时任务。原创 2023-08-06 17:54:59 · 1164 阅读 · 0 评论 -
应急响应-挖矿木马的清除思路
挖矿的前提是攻击者获取到了受害机的权限,常见通过弱口令,windows下的rdp3389服务爆破,Linux下的ssh,redis未授权等入侵。windwos进去计算机管理查看 linux:/etc/passwd下查看是否有异常的用户 /bin/csh、/bin/bash结尾均可登录。通过搜寻到的sh等木马文件,进一步上传沙箱,查看配置文件,找寻到矿池用户名ip等信息,结合日志研判。漏洞痕迹查看,需要分析出攻击时间,攻击入侵方式,定位病毒文件,攻击痕迹溯源:中间件日志,主机日志,第三方服务日志分析。原创 2023-08-06 10:27:45 · 535 阅读 · 0 评论 -
应急响应-web后门(中间件)的排查思路
分析思路:推荐D盾,河马客户端查杀出木马文件,通过文件范围内日志的字符查询定位(notepad),日志中获取访问者ip,再通过ip定位查询日志内信息(阿里云在线查杀效果最好,但文件大小有限制:)iis日志地址:inetput/logs/LogFiles/W3VC5(确认对网站的id数查询对应日志,下面对应每天产生的单个日志文件)分析思路:iis日志地址固定,一个网站对应一个id日志,分析日志定位到目录扫描行为,发现相关漏扫sqlmap等指纹。语言,数据库,中间件,系统环境等。1.利用时间节点筛选日志行为。原创 2023-08-06 09:35:11 · 1845 阅读 · 0 评论 -
应急响应-主机后门webshell的排查思路(webshell,启动项,隐藏账户,映像劫持,rootkit后门)
思路3:pchunter查看进程,大多数木马文件在没有做屏蔽等措施,在厂商归属,指纹信息会显示异常,或者无任何厂商归属信息,可以借助为参考。针对主机后门windows,linux,在对方植入webshell后,需要立即响应,排查出后门位置,以及排查对外连接,端口使用情况等等。借助工具:pchunter 火绒剑 均可,不方便情况下cmd查看对外连接状态,进程状态,端口信息等。linux被rootkit上线:无法查看到对外连接,在受害机执行命令可以做到隐藏进程,文件等。映像劫持,隐藏账户,均可借助工具查看,原创 2023-08-04 18:30:57 · 1461 阅读 · 0 评论 -
记一次hw真实溯源笔记思路
0x00 第一次信息收集获取攻击IPIP反查定位(考虑是否为代理)IP资产探测(masscan+nmap)、在线端口探测等IP web的指纹识别等信息收集原创 2022-03-08 11:01:49 · 5078 阅读 · 1 评论 -
记一次应急响应实战分析-附加应急响应工具包
0x00 应急响应安全事件的分类今天带来一篇实战的应急响应干货分享!最清晰的思路,让小白可以独立支撑应急响应!常见安全事件的分类数据安全事件:数据泄露,数据破坏,数据篡改应用安全事件:网站篡改,sql注入,xss攻击等等系统安全事件:口令破解,系统提权,木马挖矿等网络安全事件:DDOS,DNS劫持,ARP欺骗等应急等级:Ⅰ级,Ⅱ级,Ⅲ级,Ⅳ级预警等级:红色预警,橙色预警,黄色预警,蓝色预警事件类型:特别重大,重大,较大,一般0x01 应急响应准备流程:响应前期:1.准备阶段:原创 2021-10-28 23:43:42 · 2198 阅读 · 0 评论 -
十款实用方便的日志分析工具(建议收藏!!!)
0x01 10个优秀的日志分析工具在网络管理员的日常工作中,对日志文件的分析能够及时了解网络设备或应用的性能数据,以便及时发现问题并及时解决。分析日志文件的时候需要运用到日志分析工具,接下来就给大家分享10个优秀的日志分析工具:1、SolarWinds Log&Event Manager:Windows的日志分析工具,可提供集中的日志监控体验和事件时间检测,拥有超强的响应能力,能够快速找出问题所在。检测到问题之后,自动响应阻止IP,关闭应用,改变访问权限,禁用帐户,USB设备等,将风险降至最低。该工具适原创 2021-10-17 11:51:11 · 9062 阅读 · 0 评论 -
最实用的应急响应笔记思路小结
0x00 事件应急响应的流程分析事件整个类型大致归类于:事件表现-信息收集-确认攻击类型-事件追查-修复1)事件的表现:网站类型:被篡改,信息丢失,乱码等文件类型:被篡改,丢失,泄露等系统类型:系统卡顿,CPU爆满,服务宕机等流量类型:大量异常数据包,外部连接,网络网速卡顿等第三方类型:服务异常,运行异常等2)事件信息收集:windows-linux-MAC对外服务情况开放端口情况系统版本网络环境漏洞情况软件相关平台信息口令整理收集具备的防护情况3)事件攻击类原创 2021-10-13 00:12:48 · 1582 阅读 · 0 评论