![](https://img-blog.csdnimg.cn/20201014180756757.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
网络攻击溯源
文章平均质量分 62
97℃oldboy
一个半路出家的网络安全狗
展开
-
记一次黑客入侵(攻击)的应急响应
记一次黑客入侵(攻击)溯源分析管理员说感觉服务器被入侵了,没有特别明显的表象,所以思路比较简单:流量分析–>日志审计–>用户信息–>计划任务、开机启动项–>文件痕迹排查。拿到的服务器基本情况:1、没有部署安全设备(waf、IPS、IDS、防火墙以及安全狗等)是裸奔的服务器。2、windons 2008R2系统3、有流量监听软件,可获取数据流量。一、流量分析1、使用wireshark打开抓取到的数据流量通过观察数据包发现存在大量的SMB协议流量,因为是windos 20原创 2021-04-04 22:33:43 · 988 阅读 · 2 评论 -
介绍几个网络攻击中溯源的实用工具
介绍几个网络攻击中溯源的实用工具1、Rootkit 查杀:http://www.chkrootkit.orgRootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。rootkit介绍Rootkit是一种奇特的程序,它具有隐身功能:无论静止时(作为文件存在),还是活动时,(作为进程存在),都不会被察觉。换句话说,这种程序可能一直存在于我们的计算机中,但我们却浑然不知,这一功能正是许多人梦原创 2020-12-18 00:17:00 · 3971 阅读 · 0 评论 -
SSH暴力破解的应急响应实战案例
SSH暴力破解的应急响应实战案例事件的起因:在管理员的某次巡查时发现,22端口存在异常连接的IP。使用命令查看22端口的连接情况:netsatat -anpl | grep 22跟踪排查思路:一、排除系统账户情况1、除了root之外是否还有其它具有特权的的用户(uid为0):awk -F: ‘$3==0{print $1}’ /etc/passwd2、可以远程登录的账户awk ‘/$1|$6/{print $1}’ /etc/shadow普通用户是没有权限的二、确认攻击情况1、原创 2020-12-17 22:31:18 · 1409 阅读 · 1 评论