墨痕诉清风的博客

如果出现异常数量的此类日志,可能表明攻击者正在尝试暴力破解您的Kerberos服务。这对于识别潜在的暴力破解攻击或未经授权的访问尝试非常重要。如果短时间内出现大量此类事件,可能意味着有针对性的攻击或广泛的恶意软件感染。这有助于跟踪用户账户的变化并发现任何潜在的恶意删除行为。此事件记录了新进程的创建。这对于识别系统上运行的可疑或未经授权的应用程序很重要。此事件记录了用户被添加到具有提升权限的安全组的情况。这对于监控用户权限的变更和防止未经授权的权限提升非常重要。留意异常的访问模式,可能暗示未经授权的活动。

使用iptables或者配置/etc/hosts.deny 和/etc/hosts.allow进行白名单设置 可以对/etc/passwd、/etc/group、/etc/sudoers、/etc/shadow等用户信息文件进行锁定。在目录**/etc/rc.d/init.d**下有许多服务器脚本程序，一般称为服务(service)，当想要启动某个脚本时，只需要将可执行脚本丢在/etc/init.d目录下，然后在/etc/rc.d/rc*.d中建立软链接即可。

4.在检查过程中若发现存在问题则直接输出到当前目录 output/liuxcheck_[your-ip]_[date]/check_file/saveDangerResult.txt 文件中。3.在检查过程中检查项的结果会输出到当前目录 output/liuxcheck_[your-ip]_[date]/check_file/checkresult.txt 文件中。1、优化最近24h变化文件只看文件不看目录,同时排除目录/proc,/dev,/sys,/run。10.2.1.2 口令更改最小时间间隔。

2. 如果说数据是真实的，那接下来就是核实数据格式，确认泄露源头，比如泄露的信息包含身份证号，那就从数据库字段，先确认身份证号都在哪些数据表里面存储，然后定位到API接口，都有哪些接口会传输身份证号。6. 联系相关机构：如果你的银行账户、信用卡信息被泄露，你应该立即联系银行，让他们暂停你的账户，防止有人进行非法操作。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。》第二百五十三条法律规定，如果向他人提供个人信息的话，情节严重将会被判处。

3. 查看进程对应的文件路径：wmic process get 进程名称（windows）/processid｜findstr PID（Linux）第一时间肯定是全员通知，微信群或者钉钉群，还没点击的千万不要点击，已经点击的立刻上报并且做断网隔离，对所有主机做病毒查杀。2. 记录有问题的进程PID，定位进程：tasklist（Windows）/ps aux｜grep PID（Linux）4. 杀死进程：taskkill /F PID（windows）/kill -9 PID（Linux）

【代码】挖矿应急检测。

图中可以看到作者使用 nuclei 作为攻击工具测试改工具的使用效果，首先使用 teler 监控 web 的 access.log，然后启动 nuclei 进行攻击尝试，结果中出现了审计之后的结果，还能看到攻击命中的规则，比如 CVE 漏洞，暴力破解尝试。在 web 系统遭受攻击之后，通常要审计 web 日志来寻找蛛丝马迹，那么有没有可以满足需求的自动化工具呢？结果中可以看到审计完成，直接将攻击利用的漏洞都审计出来了，看上去效果还不错。除此之外，还支持在线查看，事件提醒等能力，具体如何玩，还看大家的需求。