42-1 应急响应之账户排查

最新推荐文章于 2024-06-14 13:37:51 发布
最新推荐文章于 2024-06-14 13:37:51 发布
阅读量143 收藏
点赞数
分类专栏: Web安全渗透 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43263566/article/details/139185211
版权
Web安全渗透 专栏收录该内容
223 篇文章 3 订阅 ¥299.90 ¥99.00
订阅专栏

一、用户信息排查

在服务器被入侵后,攻击者可能会建立相关账户(有时是隐藏或克隆账户),方便进行远程控制。攻击者会采用的方法主要有如下几种:

  1. 直接建立一个新的账户:攻击者直接创建一个新的账户,有时为了混淆视听,账户名称与系统常用名称相似。

  2. 激活一个系统中的默认账户:攻击者可能激活系统中的默认账户,但这个账户通常是不经常使用的。

  3. 建立一个隐藏账户:在Windows系统中,攻击者可能建立一个隐藏账户,一般在账户名称最后加$符号。

无论攻击者采用哪种方法,都会在获取账户后,使用工具或利用相关漏洞将这个账户提升到管理员权限,然后通过这个账户任意控制计算机。

二、Windows 账户排查方法:

  1. 命令行方法:

    1. 使用 net user 命令:在命令行中输入"net user"命令,可直接收集用户账户信息。若需查看某个账户的详细信息,可在命令行中输入"net user 用户名称"命令。
    2. 使用 wmic 命令:在命令行中输入"wmic useraccount get name/SID"命令,也可以查看系统中的用户信息。(name与SID选其中一个)

  2. 图形界面方法:

    1. 使用计算机管理窗口:打开"计算机管理"窗口,单击"本地用
了解本专栏 订阅专栏 解锁全文
狗蛋的博客之旅
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
42-5 应急响应之日志分析
weixin_43263566的博客
05-26 50
系统日志的位置为 C:\WINDOWS\System32\config\SysEvent.evt安全性日志的位置为 C:\WINDOWS\System32\config\SecEvent.evt应用程序日志的位置为 C:\WINNT\System32\config\AppEvent.evt系统日志的位置为 %SystemRoot%\System32\Winevt\Logs\System.evtx。
网络安全----应急响应入侵排查
qq_51690690的博客
09-09 561
一屋不扫何以扫天下?
Linux应急响应排查
热门推荐
weixin_43526443的博客
01-29 7万+
上一篇文章说到Windows的应急响应排查,本篇文章就来说说Linux的应急响应排查。 首先,前期交互这部分的内容还是不能少的,毕竟掌握的信息越多,排查的思路就越清晰。 Part1 熟悉主机环境 uname -a cat /proc/version lsb_release -a 首先,先对排查主机的基本信息有一个了解。 Part2 运行进程排查 首先熟悉一下ps命令的参数: ps [选项] -e 显示所有进程。 ...
网络安全-应急响应之入侵排查篇及相关工具
kuokay的博客
05-07 2488
windows 入侵排查 前言 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 常见的应急响应事件分类: Web 入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门 网络攻击:DDOS 攻击、DNS 劫持、ARP 欺骗 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结.
43-1 应急响应 - Windows入侵排查实验
weixin_43263566的博客
05-27 333
1)我这里使用CS随便生成一个木马,然后复制到windows虚拟机中运行2)然后在windows靶机中给这个木马文件设置计划任务,设置教程随便百度都能找到,这里就不说了。
应急响应:系统入侵排查指南
qq_61553520的博客
06-14 3350
命令行输入 lastlog。
应急响应-HW之windows 应急响应之入侵排查技巧
lza20001103的博客
08-26 845
windows 应急响应之入侵排查技巧 文章目录windows 应急响应之入侵排查技巧常见的应急响应事件分类:入侵排查思路0x01 分析入侵过程0x02 入侵排查方法一、检查系统账号安全二、检查异常端口、进程三、检查启动项、计划任务和服务四、检查系统相关信息五、日志分析六、工具查杀0x03 总结 常见的应急响应事件分类: web入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门、挖矿木马 网络攻击:DDOS攻击、DNS劫持、ARP欺骗、流量劫持 入侵排查思路 web入侵:对中
网络安全应急响应----3、Linux入侵排查
七天
03-17 2034
文章目录一、系统排查1、系统信息2、用户信息3、启动项4、任务计划5、历史命令二、进程、端口排查三、服务排查四、文件痕迹排查五、日志分析六、内存分析七、流量分析 一、系统排查 1、系统信息 查看CPU相关信息 # lscpu 操作系统信息 # uname -a # cat /proc/version 查看已载入系统的模块信息 # lsmod 2、用户信息 //查看系统所有用户信息 1、# cat /etc/passwd 用户名:密码:用户ID:组ID:用户说明:家目录:登
网络安全——应急响应之入侵排查
W981113的博客
02-14 7050
一、windows入侵排查 1.入侵排查思路 1.1 检查系统账号安全 1.查看服务器是否有弱口令、远程管理端口是否对公网开放 (根据实际情况咨询相关服务器管理员) 2.检查服务器是否存在可疑账号、新增账号 (打开cmd窗口,输入lusrmgr.msc命令,查看是否有可疑或者新增的账号,若存在管理员Administrators群组内新增的账户,请立即禁用或者删除) 3.查看服务器注册表是否存在隐藏账号、克隆账号 (打开注册表–regedit.exe或者regedit,查看管理员对应键值) (使用D盾查杀
企业应急响应和溯源排查之道.pdf
06-22
企业应急响应和溯源排查之道 企业应急响应是指在安全事件发生时,企业采取的一系列应急措施,以控制和消除安全事件的影响,保护企业的数据和资产。溯源排查是指在安全事件发生后,追溯事件的来源,了解事件的原因和...
Linux应急响应辅助排查脚本
10-20
Linux应急响应辅助排查脚本 一键运行导出日志 将该脚本下载并移动到Linux任意文件夹,以root权限运行即可导出result.log辅助快速应急响应主机排查。 可使用此脚本用于分析日常服务器差异及被攻击行为。
应急响应】Linux入侵排查思路
09-18
应急响应】Linux入侵排查思路: 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程...
Linux应急响应排查基础.zip
02-11
Linux应急响应排查基础 包含如下7分文档 数据采集.docx history.docx 日志查看命令.docx PS.docx linux应急响应checkList.docx Linux应急响应.docx Linux日志系统.docx
应急响应-攻击入侵排查 教学PPT
11-17
应急响应-攻击入侵排查 被入侵的症状 解读WEB、系统日志 WEBshell的特征 检查工具的介绍
Wireshark TS | 应用传输丢包问题
7ACE的博客
06-09 803
Wireshark TS | 应用传输丢包问题
网络安全技术实验一 信息收集和漏洞扫描
zzzfff__的博客
06-09 987
了解信息搜集和漏洞扫描的一般步骤,利用Nmap等工具进行信息搜集并进行综合分析;掌握TCP全连接扫描、TCP SYN扫描的原理,利用Scapy编写网络应用程序,开发端口扫描功能模块;使用漏洞扫描工具发现漏洞并进行渗透测试。
工业网关在智能制造中的具体应用和效果-天拓四方
最新发布
2401_84969963的博客
06-14 598
通过对数据的处理和分析,我们可以获得设备的运行状态、生产效率、故障预警等信息,为企业提供决策支持和优化建议。未来,随着技术的不断进步和应用场景的拓展,工业网关将在智能制造领域发挥更加重要的作用,为企业创造更多的价值。网关设备通过有线或无线方式与生产设备进行连接,实时收集设备的运行状态、生产数据等信息,并将数据通过安全可靠的通信协议传输至企业的数据中心或云平台。通过工业网关的应用,企业实现了对生产设备的实时监控和数据分析,能够及时发现并解决设备故障和生产瓶颈,提高生产效率。
cs61C | lecture4
DaphneOdera17的博客
06-10 671
## Stack在最顶部,向下增长。包含局部变量和 function frame information。栈指针(SP, Stack Pointer) 告诉我们最低(当前)stack frame 在哪里。当进程结束时,SP 会移动回之前的位置,但是数据会保留(现在变成 garbage)。```ca(0);return 1;b(1);c(2);d(4);```!!以下错误代码:```cint y;y = 3;return &y;/* 3 *//*?*/
ubuntu-16.04系统存在可疑账户应急响应排查工作
07-15
你好!针对Ubuntu 16.04系统存在可疑账户应急响应排查工作,你可以采取以下步骤: 1. 确认是否存在可疑账户:使用命令"sudo cat /etc/passwd"列出系统中的所有用户账户,查看是否有未知或可疑账户。特别注意root账户和其他具有管理员权限的账户。 2. 检查登录日志:使用命令"sudo cat /var/log/auth.log"或"sudo cat /var/log/secure"查看登录日志,特别关注与可疑账户相关的登录记录。检查登录时间、来源IP、登录方式等信息。 3. 检查进程和网络连接:使用命令"ps -ef"查看当前运行的进程,特别关注与可疑账户相关的进程。使用命令"netstat -antp"查看当前的网络连接,检查是否有与可疑账户相关的异常连接。 4. 分析系统日志:使用命令"sudo cat /var/log/syslog"或"sudo journalctl -xe"查看系统日志,寻找与可疑账户相关的异常行为或错误信息。 5. 检查系统文件和目录:使用命令"sudo find / -user <可疑账户>"检查系统中与可疑账户相关的文件和目录。特别关注是否有异常的脚本、工具或文件被创建或修改。 6. 安全漏洞和补丁检查:确保系统已经安装了最新的安全补丁,并检查是否存在已知的安全漏洞。可使用工具如OpenVAS或Nessus进行系统漏洞扫描。 7. 隔离和清除可疑账户:如果确认存在可疑账户,立即隔离该账户,并清除其访问权限。可以使用命令"sudo userdel -r <可疑账户>"删除账户及其相关文件。 8. 收集取证信息:在排查过程中,及时收集相关的取证信息,包括日志、进程信息、文件修改记录等,以便后续的调查和分析。 9. 安全加固和监控:加强系统的安全配置,更新密码策略、限制远程登录、启用防火墙等措施。同时建议安装和配置安全监控工具,定期检查系统安全状态。 请注意,这只是一个简要的应急响应排查工作指南,并不能覆盖所有情况。在进行操作前,请确保你具备足够的经验和权限,如果需要进一步的帮助,建议咨询专业的安全团队或咨询服务。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

狗蛋的博客之旅

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值