应急响应
文章平均质量分 76
应急响应主机加固基线核查等保测评等内容
.SYS.
分享自己的学习经历与过程
展开
-
Linux应急响应
识别现象通过系统运行状态、安全设备告警,主机异常现象来发现可疑现象通常的可疑现象有资源占用 异常登录 异常文件 异常连接 异常进程进程排查Linux因为其默认的进程权限分离,每个进程有不同的权限,所以从进程用户名上能给我们很多信息比如从mysql)用户启动了一些非mysql的进程 类似还有webshell执行反弹连接,会显示apache的用户权限查看资源占用top查看所有进程ps -ef根据进程PID查看进程详细信息lsof -p PID查看启动原创 2022-04-07 15:12:31 · 995 阅读 · 0 评论 -
Windows应急响应
账户排查账户排查主要包含以下几个维度登录服务器的途径 弱口令 可疑账号新增账号 隐藏账号 克隆账号服务器是否存在被远程登录的途径3389 smb,445 http ftp 数据库 中间件弱口令排查维度与上述服务器登录一样弱口令排查方式查看是否启用组策略,限制弱口令 用户访谈,直接询问管理员是最好的方法 查看是否有暴力破解日志,并登录成功 最后上述都无效的情况,可以尝试读取明文密码隐藏账号使用net user看不到账号 使用本地用户管理也看不原创 2022-03-23 10:37:13 · 4758 阅读 · 0 评论 -
基线管理之apache安全配置
实验目的理解apache安全配置项的作用,掌握安全配置项的配置方法实验环境一台Centos 7.2服务器,已安装apache httpd ,并开机自启动。实验原理通过编辑apache配置文件实现apache的安全配置,apache默认配置文件路径是/etc/httpd/conf/httpd.conf实验步骤一、确保apache无法访问根目录查看apache配置文件,确定里面对根目录是拒绝所有请求vim /etc/httpd/conf/httpd.co..原创 2021-12-13 20:26:43 · 2493 阅读 · 0 评论 -
windows设置隐藏账户
实验目的理解windows隐藏账户建立原理,掌握windows隐藏账户处置过程实验环境一台windows server 2012 r2实验原理通过注册表实现隐藏账户的建立,可以通过手工来建立隐藏账户实验步骤一、使用命令行创建用户1、打开命令行2、新建test$用户net user test$ sxf!7890 /addnet localgroup administrators test$ /add二、观察test$用户1、使用系统计算机管理工.原创 2021-12-17 18:59:27 · 3645 阅读 · 0 评论 -
Windows安全配置
一,登录服务器,打开组策略开始-运行 win+R gpedit.msc二,账户策略配置密码策略账户锁定策略配置账户锁定阈值三,配置安全选项账户配置重命名管理员账号为test1234(配置完后,可以尝试注销,看看administrator是否能登录) 禁止使用Microsoft账户登录交互式登录配置点进去配置一下即可用户账户控制配置启用四,高级安全审计配置账户登录账户管理详细跟踪...转载 2021-12-13 20:03:00 · 617 阅读 · 0 评论 -
window入侵排查
入侵排查思路1.1检查系统账号安全1.查看服务器是否存在可疑账号、新增账号。检查方法:打开 cmd 窗口,输入lusrmgr.msc命令,查看是否有新增/可疑的账号,如有管理员群组的(Administrators)里的新增账户,如有,请立即禁用或删除掉。2、查看服务器是否存在隐藏账号、克隆账号。检查方法:a、打开注册表 ,查看管理员对应键值。b、使用D盾_web查杀工具,集成了对克隆账号检测的功能。4、结合日志,查看管理员登录时间、用户名是否存在异常。检查...原创 2021-12-17 20:43:31 · 501 阅读 · 0 评论 -
基线管理之MariaDB安全配置
实验目的MariaDB的安全配置过程与配置方法,掌握数据库安全配置对安全运维至关重要。实验环境一台Centos7 已安装MariaDB数据库实验原理通过配置文件与数据库的配置,实现MariaDB安全配置实验步骤一、操作系统级权限检查1、检查数据库的运行权限,不建议以root运行数据库,防止越权攻击ps -ef | egrep "^mysql.*$"如图显示mysqld的运行用户为mysql2、禁用mariadb的历史记录功能查找缓存文.原创 2021-12-13 21:06:29 · 227 阅读 · 0 评论 -
基线管理之Centos安全配置
实验目的通过配置Centos配置文件,加强Centos默认安全配置。同时也是理解linux一切皆文件的思想。尝试用shell脚本来处置Centos的安全配置。实验环境一台Centos 7.2无需其他环境。实验原理Linux操作系统的配置基本上以配置文件展示,通过不同配置文件理解不同的配置。实验步骤一、网络配置1、检查不用的连接ip link show up发现有两个连接一个为lo,一个为eth0,如果有需要关闭的接口,可以使用ip link setdown..转载 2021-12-13 19:03:51 · 231 阅读 · 0 评论