Windows和Linux网络安全应急响应基础技能——如何进行系统排查以及检测恶意用户登录和网络流量日志分析

最新推荐文章于 2023-02-09 14:26:06 发布
最新推荐文章于 2023-02-09 14:26:06 发布
阅读量969 收藏 2
点赞数 1
分类专栏: 深耕技术之源 文章标签: linux windows web安全 网络安全 用户检测
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014374009/article/details/128356129
版权

Windows和Linux网络安全应急响应基础技能——如何进行系统排查以及检测恶意用户登录和网络流量日志分析。

一、Windows

基础排查时可使用Msinfo.exe,可以显示本地的硬件资源、组件和软件环境信息。可以对正在运行的任务、服务、系统驱动程序、加载的模块、启动程序进行排查。

恶意用户排查:

查询用户有四种方法

net user(此命令无法查看$结尾的隐藏用户)


net user [用户名] 查看用户信息

图形界面(此方法可以查看隐藏用户)

命令行输入

lusrmgr.msc

注册表查看,快捷键Win + R 输入以下命令:

regedit

路径为[HKEY_LOCAL_MACHINE]->[SAM]设置权限

查看0000开头项为用户,F4为administrator,如果发现F值是相同的,则说明有克隆用户

wmic

命令行输入

wmic useraccount get name,SID

任务计划排查:

了解本专栏 订阅专栏 解锁全文 超级会员免费看
代码讲故事
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
Flink 实现恶意登录检测
congge_study的博客
04-03 6586
Flink 实现恶意登录检测
Linux应急响应排查基础.zip
02-11
Linux应急响应排查基础 包含如下7分文档 数据采集.docx history.docx 日志查看命令.docx PS.docx linux应急响应checkList.docx Linux应急响应.docx Linux日志系统.docx
Linux入侵排查
Williamanddog的博客
02-09 1079
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。使用环境:CentOS针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,常见 Linux 服务器入侵排查的思路如下。
Flink CEP 实现恶意登录检测
congge_study的博客
04-03 7271
Flink CEP 实现恶意登录检测
Windows系统入侵排查应急响应技术
道阻且长,行则将至。
07-17 2410
文章目录前言入侵排查系统账户排查进程端口排查启动项的排查计划服务排查系统信息排查日志信息排查应急工具总结 前言 前面一篇文章:浅析Linux系统入侵排查应急响应技术 介绍了 Linux 系统应急响应技术,本文来学习、记录下 Windows 系统的入侵排查应急响应技术。 入侵排查 系统账户排查 查看系统是否存在可疑账号,黑客入侵的时候常常喜欢创建隐藏账号。 1、使用net user命令查看系统账户信息(但此方法不能查看到隐藏账号): 2、进一步执行命令 net user xx查看 xx 用户详细信息,注
以入侵检测的视角进行应急响应
网络安全领域优质创作者
04-21 869
​日常记录,仅供收藏,用时不慌。 0x01 写在开头 基于主机层的应急响应和入侵检测感觉有点相似,具体有什么异同呢? 一、应急响应和入侵检测都需要获取什么信息,目的各自是什么? 1、快照信息:获取服务器的当前运行情况的信息,基础信息,日志信息,便于安全监控和后期取证或溯源分析; 2、异常检查:初筛作用,初步做些排查和异常检查,若发现异常,人工进行分析; 3、入侵检测:后门特征检查,包括历史曾经发现过的后门检查; 二. 入侵检测Linux应急检查为对应关系,二者关...
应急响应——Linux入侵排查
negnegil的博客
09-16 7087
事件响应可以定义为每当发生计算机或网络安全事件时所采取的行动过程。作为事件响应者,您应该始终了解系统中应该出现和不应该出现的内容。 排查思路 (1)首先监测用户账号安全,比如新增的账号、可疑账号,重点查看可以远程登录的账号以及高权限账号。 (2)利用linux的history指令查看历史linux指令,uptime指令查看登录多久、多少用户。 (3)检查异常端口和进程,netstat检查异常端口,ps检查异常进程,可以观看资源占用的进程id来判断是否有挖矿木马等嫌疑。 (4)检查linux的启动项和系统
网络安全应急响应(归纳)
热门推荐
只有不断学习才不会被茫茫人海淹没!
06-09 1万+
1、概念 应急响应是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全。主要是为了人们对网络安全有所认识、有所准备,以便在遇到突发网络安全事件时做到有序应对、妥善处理。 2、PDCERF(6阶段) a.准备阶段:预防为主,例如扫描、风险分析、打补丁等。简历监控措施、简历数据汇总分析体系、制定能够实现应急响应目标的策略和规程,建立信息沟通渠道,建立能够集合起来处理突发事件的体系。 b.检测阶段:检测事件是已经发生的还是正在进行中的,以及事件产生的原因。确定事件性质和影响的严重程度,以
linux&windows应急响应
yggcwhat
05-07 1133
linux&windows应急响应
应急响应】2020应急响应基础-WindowsLinux合集
qq_34965596的博客
07-02 2108
文章目录0x00 应急响应介绍常见的应急响应事件分类入侵排查思路0x01 Windows - 应急响应处置过程1.1 检查系统账号安全1.1.1 检查服务器是否有弱口令1.1.2 检查远程管理端口是否对公网开放1.1.3 查看服务器是否存在可疑账号、新增账号1.1.4 查看服务器是否存在隐藏账号、克隆账号1.2 检查异常端口、进程1.2.1 检查端口连接情况,是否有远程连接、可疑连接1.2.2 检查进程1.3 计划任务1.3.1 任务计划程序1.3.2 自启动1.3.3 组策略1.4 查看可疑目录及文件1.
Windows应急响应排查基础.zip
02-11
Windows应急响应排查基础 简单的应急这足够解决 包含如下工具 windows日志分析工具 包含如下文档 Windows 日志记录配置.docx [应急响应] windows,入侵排查思路.docx Windows日志登录类型.docx windows应急响应...
应急响应Linux入侵排查思路
09-18
应急响应Linux入侵排查思路: 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第...针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 Linux 服务器入侵排查的思路。
Linux应急响应流程及实战演练.docx
03-06
Linux 应急响应流程及实战演练 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第...针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 Linux 服务器入侵排查的思路。
用于Linux应急响应,快速排查异常用户登录情况和入侵信息排查.zip
最新发布
02-09
快应用开发
Linux应急响应辅助排查脚本
10-20
Linux应急响应辅助排查脚本 一键运行导出日志 将该脚本下载并移动到Linux任意文件夹,以root权限运行即可导出result.log辅助快速应急响应主机排查。 可使用此脚本用于分析日常服务器差异及被攻击行为。
windows日志分析#linux日志分析#web日志分析#windows入侵排查#linux入侵排查
09-01
windows日志分析#linux日志分析#web日志分析#windows入侵排查#linux入侵排查
应急响应实战笔记——2020最新版
01-04
入侵排查日志分析、权限维持、Windows实战、Linux实战、Web实战
Linux 应急响应入门——入侵排查.doc
01-20
Linux 应急响应入门——入侵排查.doc
网络安全——流量分析
09-12
流量分析是一种网络安全的技术,它用于监测、分析和理解网络流量。通过对网络流量进行深入分析,可以探测网络中的异常行为、识别潜在的威胁并及时采取相应的安全措施。 在流量分析中,通常会采集网络数据包并对其...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

代码讲故事

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值