应急响应
文章平均质量分 71
LuckyCharm~
这个作者很懒,什么都没留下…
展开
-
Linux应急响应
Linux入侵排查一、思路1.1 账号安全1.2历史命令1.3检查异常端口1.4 检查异常进程1.5 开机启动项1.6 定时任务重点关注文件1.7检查服务自启动**入侵排查**1.8检查异常文件1.9 检查系统日志日志分析技巧参考 Tide团队https://github.com/TideSec一、思路1.1 账号安全1.1.1基本知识用户信息文件 /etc/passwdroot:x:0:0:root:/root:/bin/bashaccount:password:UID:GID:G转载 2021-11-20 21:21:50 · 118 阅读 · 0 评论 -
windows日志分析 及 Log Parser使用记录
常见事件ID4778,4779 会话重连或者端口 有远程登录的 ip和 客户端名4624 登录成功 有远程登录的 ip和 客户端名4625 登录失败 服务器是否在受到暴力破解安装下载地址https://www.microsoft.com/en-us/download/details.aspx?id=24659双击安装包中间选择 custom setup默认位置 安装好导入环境变量C:\Program Files (x86)\Log Parser 2.2使用cmd查看原创 2021-11-18 20:28:55 · 3135 阅读 · 0 评论 -
windows应急响应-1入侵排查
windows应急响应篇前言一、Window入侵排查1.1 检查系统账号安全1.2 检查异常端口、进程二、使用步骤总结前言一、Window入侵排查1.1 检查系统账号安全查看服务器是否有弱口令,远程管理端口是否对公网开放。检查方法:据实际情况咨询相关服务器管理员。查看服务器是否存在可疑账号,新增账号检查方法:cmd 输入 lusrmgr.msc重点看组里 administrators组的账号 有可疑的立即删除看是否存在隐藏账号、克隆账号。检查方法a. 打开原创 2021-11-06 01:57:10 · 262 阅读 · 0 评论