文章源自【字节脉搏社区】-字节脉搏实验室 作者-m9kj 概述: Log Parser(微软网站下载)是微软公司出品的日志分析工具,它功能强大,使用简单,可以分析基于文本的日志文件、XML 文件、CSV...它可以像使用 SQL 语句一样查询分析这些数据,甚至可以把分析结果以各种图表的形式展现出来。 常见事件ID: ?...Logon Type 4 – Batch 计划任务 Logon Type 5 – Service 服务。...某些服务用一个域账号来运行的,出现Failure常见的情况是管理员跟换了域密码但是忘了更改service的密码。 Logon Type 7 – Unlock 解除屏幕锁定。...使用方式: 首先打开eventvwr.msc将所有事件保存到本地,然后打开logparser,输入指令:LogParser.exe -i:EVT -o:DATAGRID "SELECT * FROM 日志路径
创建服务 直接选择默认的 XblGameSave 服务,这个服务为 Xbox Live 可保存游戏同步保存数据。...XblGameSave" 可以看到,常规检查的时候,无法直接看到 XblGameSave 通过 sc query 指定名称查找显示的是 拒绝访问 通过 sc qc 指定名称查找能够显示出正常内容 如果常规方式看不到,应急响应人员也无法知晓该活动的名称...可以先取消注册表权限 方法二 高权限查看法 这种隐藏方式无非就是谁可以看,谁不可以看,在 Linux 中,几乎所有的限制对 root 都没用,我们分析一下刚才的权限设置 这里似乎对 SYSTEM 并没有限制,那我们使用...创建木马 这次使用 msf 生成一个服务木马来模拟服务 msfvenom -p windows/meterpreter/bind_tcp lport=4455 -f exe-service -o bind.exe...0x10 思考排查方法 一般攻击者使用服务都是做持久化控制的,删掉注册表来对抗隐藏不是常规的思路,但是毕竟大家面对的也不是一群常规的人,如果真的是出现了这种奇葩,该如何进行检测呢?
使用 Out-GridView,但如果需要,您可以使用 -raw 并导出到 csv/xls。也有原始搜索功能。
web入侵:Webshell,网页挂马,主页篡改系统入侵:病毒木马,远控后门,勒索软件网络攻击:ARP欺骗,DDOS攻击,DNS劫持针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些...但是,在一次被入侵成功的安全事件,我们肯定需要一系列分析溯源,尽可能把整个事件还原,还需要出个应急响应报告的。...入侵排查思路 检查系统账号安全 检查异常端口、进程 检查启动项、计划任务、服务 检查系统相关信息 杀软查杀 日志分析 处置流程: 准备阶段:获取整个事件的信息(比如发生时间,出现啥异常等),准备应急响应相关工具...可进行断网,防火墙策略隔离,关键数据备份,数据恢复 检测阶段:技术分析 取证阶段:确定攻击事件,确定攻击时间,确定攻击过程,确认攻击对象 处置阶段:提出安全问题,提出解决方案,业务恢复 总结阶段:完整应急响应事件报告编写...病毒传播者可以利用个人电脑或服务器进行挖矿,具体现象为电脑CPU占用率高,C盘可使用空间骤降,电脑温度升高,风扇噪声增大等问题。
如何证明恶意的宏被启用和点击了?
Windows的应急 学习过程中看到师傅文章,所以顺便做了个思维导图 师傅太强了 原文链接已放文末。 常见的应急响应事件分类。...SAM/Domains/Account/Users; 第五步:在Names项下可以看到实例所有用户名 Tips:如果出现本地账户中没有的账户,即为隐藏账户,在确认为非系统用户的前提下,可删除此用户 使用...指定修改时间进行搜索 1.5 自动化查杀 1、病毒查杀 检查方法:下载安全软件,更新最新病毒库,进行全盘扫描 2、webshell查杀 检查方法:选择具体的站点路径进行webshell查杀,建议使用两款或者多款查杀工具同时查杀...eventvwr.msc,打开事件查看器 导出应用程序日志、安全日志、系统日志,利用Log Parser进行分析 2、web访问日志 找到中间件的web日志,打包到本地方便进行分析 Windows推荐使用...EmEditor进行日志分析;Linux推荐使用shell命令组合查询分析 常见日志存放路径 1、apache服务器 Windows : \logs\access.log
“俗话说:好记性不如烂笔头,最近做了几个应急响应就来总结下。” ...应急响应分为四个阶段:前期沟通,事件处理,事件分析,报告交付,前期沟通主要是和客户交流事件情况,了解是什么安全事件,客户是否做了处理,如果做了处理,做了那些处理。...服务器恢复正常后,进行事件分析,通过排查日志还原攻击者的入侵轨迹,最后一步就是整理报告。 沟通贯穿整个应急响应流程,也是最重要的,切记不要一上来就查,了解事件原因才会事半功倍。...(1)web攻击事件 例如网站存在注入、上传、或者RCE,首先给服务器加waf,阻断大部分攻击源,提升攻击成本,如果客户使用CMS建站,那么一定要按官方修复建议修复。...0x02 Linux 排查思路 1.用户,查系统是否存在异常用户 cat /etc/passwd 2.进程,查看是否存在异常进程,名字特别,CPU使用率高 top ps aux 3.网络连接,查看服务器当前是否有异常连接
背景 前一段时间我处理了一次应急响应,我还输出了一篇文章 Linux应急响应笔记。...这两天又处理了一次病毒入侵,在前一次的基础上,这次应急做了一些自动化脚本,应急响应效率有了一定程度的提升,故另做一份笔记。...PS:本文重在分享应急响应经验,文中保留了恶意网址,但是删除了恶意脚本及程序的下载路径。本文仅用于技术讨论与分析,严禁用于任何非法用途,违者后果自负。...应急操作笔记 查看我上一次 Linux应急响应笔记,我发现罗列这么多命令,很多时候眼花缭乱,操作起来也不方便,不如写个shell脚本自动化收集信息。...无论如何,还是尽量保证系统安全性,减小系统入侵攻击面,这样可以极大保护系统不被入侵。
通过PowerShell命令查找进程加载了DLL: ps | ? { $_.Modules.ModuleName -contains 'amsi.dll' } ...
应急响应流程 言归正传,应急响应的标准流程应该如何?...Lessons learned总结反思事件,一方面从源头上减小安全事件的发现,另一方面提升应急响应的效率。 上面的应急响应还是非常片面的,我搜罗了一系列网友分享的应急响应经验,整理成章方便以后查阅。...我把应急响应流程分为三个部分,分别是 【1】入侵现场,【2】攻击维持,【3】入侵原因,下面我将从这三个方面展开 入侵现场 所谓入侵现场,是指服务器被怀疑中毒的现场环境,一般来说,服务器被怀疑中毒都有异常现象...入侵原因 弱密码/默认密码 首先通过netstat查看对外开放的服务,确认这些服务(比如mysql,redis,zookeeper,tomcat等)是否有配置认证,认证使用的是否为弱密码或者默认密码。...系统加固 修改各个对我开放的服务密码 限制对外开放的服务,如果不方便操作,则通过iptables限制可访问的主机 升级系统组件或者服务使用到的中间件
03 — 应急响应流程 在真实场景中,应急响应的情况多种多样,比如遇到勒索病毒、挖矿程序、网页篡改、DDOS攻击、CC攻击等,对应的响应流程也会不同。...这种场景一般是乙方安全公司做应急响应服务时的常规操作,降低了应急难度,提升效率。...然而在本专题中,考量或锻炼的就是这些自动化的能力变为手工化,应急同学不能使用现成的自动化工具,只能自己写或使用功能单一的开源工具; 从业务异常现象反向分析法:业务系统所在服务器的CPU使用率非常高,...此外攻击队还在第二次课题模拟中,留下一个彩蛋:在windows桌面上,留下一张名为hackyourown.jpg的图片(实则利用exiftool rce漏洞植入了后门),等待应急响应同学使用exiftool...看了各组应急响应报告中的修复建议,思路比较固定,基本都分为技术和管理方面。
REvil 使用随机文件名将图像保存到主机的 %Temp% 目录中,该文件名由长度为 3 到 13 个字符的小写字母和数字组成,并附加“ .bmp ”扩展名(例如,C:\Users\ \AppData...通读 SecureWorks 文章,赎金票据指示受害者使用唯一的 URL来解密他们的文件。
在互联网高速发展的时代,我们应该如何保护个人信息不被窃取、不被不法分子当作利益的筹码,当我们遇到入侵事件的时候,我们应该怎么办,第一步怎么办,怎么推进排查过程、是否有应急预案等,这都是我们需要了解的。...说了这么多下面小白浅谈一下应急响应,我们看一下windows应急处理。...Windows安全应急处置 攻击者入侵一个网站必然会对企业的业务系统造成不同程度的损害,即使入侵不成功,也会使业务系统访问缓慢,即使在网络良好的情况下。...这里推荐使用 Log Parser工具进行分析,个人觉得比较方便。...服务 我们以MSF权限维持中的Metsvc 模块,只要攻击者使用这个模块的后门,在服务中就会自动生成meterpreter这个服务,类型为自动启动。
一、前言 常见的应急响应事件分类: Web入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门 网络攻击:DDOS攻击、DNS劫持、ARP欺骗 二、Windows入侵排查...检查系统账号安全 查看服务器是否有弱口令,远程管理端口3389,22等端口是否对公网开放 检查方法:问服务器管理员,简单直接要么简单扫描测试一下也可以 ?...查看服务器是否存在可疑账号、新增账号 Win+R->lusrmgr.msc ? 查看服务器是否存在隐藏账号、克隆账号 使用D盾或者其他小工具都可以查看隐藏账号 ? ?...D盾,查看可以进程,查看有没有签名信息或者可以使用Process Explorer等工具查看 ?...https://github.com/he1m4n6a/findWebshell 在线Webshell查杀工具 http://tools.bugscaner.com/killwebshell 五、如何发现隐藏的
接到个单子,网站被挂博彩 客户机器环境 服务器系统:CentOS 7 服务器管理面板:宝塔 CMS:织梦 CMS V57 SP2 排查过程 过程向客户了解情况后,登录了服务器进行检查,发现历史执行过的命令有些异常...、SSH应用程序进行了检查, SSH程序正常 SSH配置文件发现被设置了 ssh key 文件检测&日志分析 文件检测 由于客户机器上运行着4个站点,所以down了相关网站文件和日志,网站文件使用...www.xxx.com/templets/default/images/banner_03.php /www.xxx.com/tuiguang/2018/1205/19.php 其中一个 shell 日志分析 使用...Apache Log Viewer对日志进行分析,设置了shell文件正则后如下图 寻找第一次访问shell的IP 最终发现 IP:117.95.26.92为首次使用网站后门上传其他shell的IP...,由于客户的站点是仿站,模板为网上下载,怀疑存在模板后门的情况,综合日志分析确认为模板后门 处置与意见 网站中的木马文件已经删除,根据访问日志确认是模板后门造成的此次事件 服务器异常账户已经删除,考虑到该异常账户多次成功登录到服务器
最近被安排做一些应急响应的工作,所以学习了一下Linux进程相关的知识,越学越多,那就记下来吧!...大家都知道,此时我们启动了一个程序 ping ,并且创建了一个进程,我们再开一个终端ssh连接这个服务器看一下 ?...session中的第一个进程(一般是bash)的PID就是session的SID 现在大招来了,如何干掉整个session呢? pkill -s SID 实验开始 ?...我使用两个终端连接同一个服务器的ssh ?...还是使用两个终端来进行 ? ? ctrl b+d tmux ls ? 我们使用另一个终端观察一下: ?
一、案例背景 某用户页面打开缓慢,监控发现服务器CPU负载高。 [服务器负载] ---- 二、问题说明 登录服务器核实为木马导致CPU过高。...2)、没有配置安全组 [服务器安全组] 简单分析,由于没有配置安全组,导致出现木马入侵。 ---- 四、解决办法 1、准备工作 1)、对服务器进行快照备份。...---- 五、加固建议 1、服务器设置大写、小写、特殊字符、数字组成的12-16位的复杂密码 ,也可使用密码生成器自动生成复杂密码,这里给您一个链接参考:https://suijimimashengcheng...developer/article/1052163 Linux远程端口修改参考文档:https://cloud.tencent.com/developer/article/1124500 5、较为安全的方法:只使用密钥登录禁止密码登陆...里面您只需要放行业务协议和端口,不建议放行所有协议所有端口,参考文档: https://cloud.tencent.com/document/product/215/20398 7、如果您的本地外网IP固定,建议使用安全组或者系统防火墙禁止除了本地外网
该脚本使用WMI来获取服务的ACL,并识别非管理员的DC、WD或WO权限。 这些权限中的任何一个都允许持有该权限的用户立即提升到localsystem。
Windows下系统应急: 首先 断网~ 一、检测阶段 1. 备份Web页面 ? 2. 查找隐藏账户 ? 3. 查找可疑进程 ? ? ? 4. 查杀Webshell ? 5....5.根除阶段 (1)修改服务器超级管理员账户密码 (2)修改网站后台管理员账户密码 (3)修复漏洞 (4)更改后台地址 6.接入网络恢复访问 Linux下系统应急: 首先 断网~ 一、 检测阶段 1....三、根除阶段 1.更改服务器管理员账户密码 ? 2.更改网站后台账户密码 3.修复漏洞 4.更改网站后台地址 5.重新接入网络
针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,整理了一些思路。...,可以管理独立服务和xinetd服务。...入侵排查 1.查询已安装的服务 RPM包安装服务 chkconfig --list 查看服务自启动状态,可以看到所有RPM包安装的服务 ps aux | grep crond 查看当前服务 chkconfig.../clamscan -r /home 扫描所有用户的主目录就使用 ..../clamscan -r /home 扫描所有用户的主目录就使用 .
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
