应急响应-账户排查

最新推荐文章于 2024-11-13 18:23:12 发布
最新推荐文章于 2024-11-13 18:23:12 发布
阅读量2.6k 收藏 12
点赞数 2
分类专栏: 应急响应 文章标签: 网络安全 应急响应 windows应急响应 linux应急响应
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61503377/article/details/127939151
版权

用户信息排查

在服务器被入侵之后,攻击者可能会建立相关账户,方便进行远程控制。
主要采用一下几种:

  1. 直接建立一个新用户;(有时候为了混淆视听,账户名称和系统常用名相似)
  2. 激活一个系统中的默认用户,但是这个用户不经常使用;
  3. 建立一个隐藏用。(在windows中,一般在用户名后加$)

无论攻击者采用哪种方法,都会在获取账户后,使用工具或是利用相关漏洞将这个用户提升到管理员权限,然后通过这个账户任意控制计算机。

windows账户排查

命令行方法

  1. 在命令行输入【net user】命令,可以直接收集用户的账户信息,若需要查看某个用户的详细信息,可以在命令行输入【net user username】命令;
    在这里插入图片描述

  2. 在命令行中输入【wmic useraccount get name,SID】命令,也可以查看用户信息。
    在这里插入图片描述

【net user】看不到隐藏账户,【wmic useaccount get name,SID】可以看到隐藏账户。
在这里插入图片描述

图形化方法

  1. 打开【计算机管理】窗口,单击【本地用户和组】中的【用户选项】,可以查看隐藏账户,名称以$结尾的为隐藏账户。
    在这里插入图片描述

  2. 在命令行输入【lusrmgr.msc】,可以直接打开图形界面,查看是否有新增或者可疑用户。
    在这里插入图片描述

以上方法看不到克隆账号,克隆账号是攻击者修改注册表来进行账户创建。

排查克隆账号

  1. win+R,输入【regedit】打开注册表,依次点击【HKEY_LOCAL_MACHINE】>>【SAM】>>【SAM】;
    在这里插入图片描述

  2. 【SAM】下边还存在文件,因为权限的问题我们无法访问到;右击【SAM】选择【权限】,然后选择【administrator】用户,勾选下边的【完全控制】和【读取】选项卡点击应用,就可以看到【SAM】下边的文件。
    在这里插入图片描述

  3. 刷新注册表,查看克隆账户的信息。
    在这里插入图片描述

Linux账户排查

  1. 简单查看用户信息
    在Linux系统中存放用户信息的文件是/etc/passwd,最简单的方法使用cat查看passwd文件内容;
    在这里插入图片描述

  2. 排查是否存在除Root用户之外的超级用户;

awk -F: '{if ($3==0) print $1}' /etc/passwd

在这里插入图片描述
如果存在其他用户,可以联系管理员进行处理;

  1. 排查可以通过交互式页面进行登录的用户;
cat /etc/passwd | grep '/bin/bash'

在这里插入图片描述

  1. 查看哪些用户被爆破或者登陆失败的用户信息;
lastb

在这里插入图片描述
下面我注销账户,随便输入用户名和密码进行实验,再登录进行查看;
在这里插入图片描述

  1. 查看系统所有用户最后一次登录时间;
lastlog

在这里插入图片描述

  1. 查看用户最近一次的登录情况;
last

在这里插入图片描述

  1. 查看当前登录到系统的用户;
who

在这里插入图片描述

  1. 排查空口令账户;
awk -F: 'length($2) ==0 {print$1}' /etc/shadow

在这里插入图片描述

42-1 应急响应账户排查
weixin_43263566的博客
05-24 222
无论攻击者采用哪种方法,都会在获取账户后,使用工具或利用相关漏洞将这个账户提升到管理员权限,然后通过这个账户任意控制计算机。在服务器被入侵后,攻击者可能会建立相关账户(有时是隐藏或克隆账户),方便进行远程控制。直接建立一个新的账户:攻击者直接创建一个新的账户,有时为了混淆视听,账户名称与系统常用名称相似。建立一个隐藏账户:在Windows系统中,攻击者可能建立一个隐藏账户,一般在账户名称最后加。激活一个系统中的默认账户:攻击者可能激活系统中的默认账户,但这个账户通常是不经常使用的。
43-1 应急响应 - Windows入侵排查实验
weixin_43263566的博客
05-27 536
1)我这里使用CS随便生成一个木马,然后复制到windows虚拟机中运行2)然后在windows靶机中给这个木马文件设置计划任务,设置教程随便百度都能找到,这里就不说了。
linux的文件隐藏属性
荆盼的博客
08-22 4323
Linux 系统中的文件除了具备一般权限和特殊权限之外,还有一种隐藏权限,即被隐藏起 来的权限,默认情况下不能直接被用户发觉。有用户曾经在生产环境和 RHCE 考试题目中碰 到过明明权限充足但却无法删除某个文件的情况,或者仅能在日志文件中追加内容而不能修 改或删除内容,这在一定程度上阻止了黑客篡改系统日志的图谋,因此这种“奇怪”的文件也 保障了 Linux 系统的安全性。 chattr 命令用于...
应急响应 - Windows用户分析,Windows隐藏账号分析,Windows克隆账号分析
热门推荐
wangyuxiang946的博客
04-20 1万+
一、普通用户 二、隐藏用户 1、lusrmgr.msc 2、注册表 三、克隆账号
应急响应篇之Linux入侵排查
薛定谔嘚喵博客
06-25 1393
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Linux服务器入侵排查的思路。
应急响应-Linux排查思路小结
dayouzi的博客
02-13 822
在日常工作中,总是遭遇linux操作系统的应急,这里整理一些常用排查命令。
应急溯源专题,电脑被黑客攻击了?看我怎么恢复并找到攻击者
weixin_68408599的博客
05-06 1431
我在我vps部署了一个空口令的redis靶场,因为我靶场是在公网的(别问我为啥部署在公网,公网打着有感觉),没想到打着打着被别人get shell了,打的时候发现服务器特别卡,腾讯云也发短信提示我。于是马上进行应急排查,发现cpu跑到100%了,还有对外攻击行为。好家伙,由此有了以下应急响应的经过。(正好HW将至,这篇文章也许能帮助各位师傅了解相关挖矿木马的排查)
Linux恶意攻击自查方案
W1124824402的博客
12-12 1777
实际上,/etc/rc.d/init.d和/etc/xinetd.d目录,以及/etc/rc.d/rc.local文件是通过软链接到/etc/rc*.d目录下执行加载的,而/etc/inittab是启动配置文件,因此重点关注/etc/rc0.d~rc6.d目录下的文件。注:各服务的启动脚本存放在/etc/init.d/和/etc/xinetd.d目录下,对于没有或无法使用chkconfig命令的系统,可通过创建或删除到/etc/rc*.d目录下的软链接,手工实现管理服务开机是否启动。
Windows应急响应-排查方式
网络空间安全学习
08-05 2164
网络安全应急响应(Network Security Incident Response,又称CSIRT)是指团队或组织为了在网络安全事件发生时能够及时准确地做出反应和应对而建立的一套制度和流程。其目的是降低网络安全事件所造成的损失并迅速恢复受影响的系统和服务。我这里总结了一些 Window 服务器应急响应的思路和方法,希望能对师傅们处理攻击事件或工作中的应急响应有所帮助。常见的应急响应事件分类:常见的应急响应事件可分为四类,如下。
玄机靶第一章 应急响应-Linux日志分析
qq_46343633的博客
06-04 1893
1.有多少IP在爆破主机ssh的root帐号,如果有多个使用",“分割2.ssh爆破成功登陆的IP是多少,如果有多个使用”,“分割3.爆破用户名字典是什么?如果有多个使用”,"分割4.登陆成功的IP共爆破了多少次5.黑客登陆主机后新建了一个后门用户用户名是多少这次靶场是用来确定攻击者的相关信息,以便于后期的溯源和编写应急响应报告。
网络安全——应急响应Linux入侵排查
最新发布
CoffeMilk的博客
11-13 1129
本文主要介绍关于Linux系统被入侵后的应急响应工作流程和排查内容
mimic:在Linux中以普通用户身份隐藏进程
05-02
模仿 mimic是用于在Linux x86_64上秘密执行的工具。 什么是“秘密执行”? 秘密执行是隐藏流程的艺术。 在这种情况下,模拟程序会将进程隐藏在可见的地方。 mimic可以启动任何程序,并使它看起来像任何其他程序。 任何用户都可以使用它。 它不需要特殊权限。 它不需要特殊的二进制文件。 它不需要根工具包。 什么?! 没有特殊特权? 那是正确的。 模拟通过重新布置流程的内部结构以使其混淆该流程的/ proc条目的方式来工作。 所有报告过程性质的工具都通过检查/ proc来执行此操作。 如果我们可以弯曲/ proc,那么我们可以将进程隐藏起来。 由于我们只是在更改自己拥有的流程的状态,因此任何人都可以成功运行mimic 。 可以检测到吗?! 当然,但是仅当您非常仔细地查看或正在运行用于此类事情的取证工具时,才可以。 模仿的用处在于,它首先可以防止某人变得可疑。 这可以与
Linux 中查找用户帐户信息和登录详细信息的 12 种方法
网络技术联盟站
07-05 1万+
除了使用系统提供的工具和文件,您还可以编写自己的脚本来查找用户帐户信息和登录详细信息,并将结果记录到自定义的日志文件中。这样可以根据您的需求和系统配置进行更灵活的管理和监视。/bin/bash # 查找用户帐户信息 cat /etc/passwd # 查找登录详细信息 lastlog # 记录结果到日志文件 LOG_FILE = "/var/log/user_info.log" {以上是12种在Linux中查找用户帐户信息和登录详细信息的方法。
查看linux中所有用户的三种方式
suifeng_ly的博客
07-24 503
通过使用/etc/passwd文件,getent命令,compgen命令这三种方法查看系统中用户的信息。 大家都知道,Linux系统中用户信息存放在/etc/passwd文件中。 这是一个包含每个用户基本信息的文本文件。当我们在系统中创建一个用户,新用户的详细信息就会被添加到这个文件中。 /etc/passwd文件将每个用户的基本信息记录为文件中的一行,一行中包含 7 个字段。 /etc/...
linux添加隐藏账户,Linux——CentOS7添加/删除用户用户
weixin_39815286的博客
05-08 1340
Linux——CentOS7添加/删除用户用户组2017年11月23日 11:17:56ataoajuan阅读数:6932版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/ataoajuan/article/details/78612465前言今天又重新装了centos7突然有关用户用户组有关的命令记不清了,所以记一下,也方便你我学习。———...
Linux操作系统安全配置
V13807970340的博客
04-15 3805
在我们Linux系统当中,默认的情况下,所有的系统上的帐号与一般身份使用者,还有root的相关信息, 都是记录在/etc/passwd这个文件内的。vsftpd 是一个 UNIX 类操作系统上运行的服务器的名字,它可以运行在诸如 Linux、BSD、Solaris、 HP-UNIX等系统上面,是一个完全免费的、开放源代码的ftp服务器软件,支持很多其他的 FTP 服务器所不支持的特征。UID号为0是为root用户保留的,UID号1到99是为系统用户保留,UID号100-999是为系统账户和群组保留。
Linux中如何查询谁登录过偷偷做坏事?这4个命令绝对可以!
网络技术联盟站
08-21 393
在多用户Linux 系统中,有时候会有查询当前已登录到系统中用户的需求。比如因某种原因要注销某个用户。今天我们简单介绍下在 Linux 系统中列出登录用户的几种方法。我们所介绍的这几个方法中,几乎所有命令都依赖存在于 /var 或者 /proc 目录中的数据。如果你对 Linux 中的目录结构稍有了解,就会知道这两个目录包含有关系统上正在运行的进程的数据。这是个最简单的方法,只需键入一个字母命令,即可查询出当前系统中登录的用户。 如下是 w 命令的输出:我们对上面的输出做个简单的解释,在其他命令中也会涉
3-5 Linux安全加固
weixin_43263566的博客
10-14 652
注意:修改这个配置文件只能影响后面创建的用户,也就是说在之前的该是多少天过期就多少天过期。文件是Linux系统中用于存储用户密码信息的文件。一样修改这个配置文件只能影响后面创建的用户
linux添加用户隐藏权限
weixin_30621711的博客
06-27 974
1、添加用户报错提示: [root@server-2 etc]# useradd guset useradd: cannot open /etc/group 2、查看 /etc/group文件权限正常 3、查看下面四个文件是否有隐藏权限 [root@localhost~]#lsattr/etc/passwd -------------/etc/passwd [root...
linux隐藏登录用户,在Ubuntu 18.04登录屏幕中隐藏用户列表
weixin_32340873的博客
04-29 1991
在Ubuntu 18.04的Gnome登录屏幕通常显示可供用户登录的列表。 对于那些想禁用显示用户列表,并手动输入用户名登录,下面我会告诉你怎么操作。在键盘上按Ctrl + Alt + T打开终端,打开终端时,逐个运行以下命令:1.运行命令以访问根目录:sudo -i输入密码(输入时无视觉反馈),当它提示并按Enter时。2.然后切换到用户gdm,这是运行gsettings来配置gdm设置所必需的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

曲折上升

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值