展开

关键词

说说Windows

随着网络的快速发展,不少的互联网公司都积极的参与到了这个领域,随着《网络法》颁布与实施、等保2.0的颁布等为网路发展提供了有力的后盾。一个事物的快速发展,也会引起其它不利的事物萌芽。 说了这么多下面小白浅谈一下,我们看一下windows处理。 Windows处置攻击者入侵一个网站必然会对企业的业务系统造成不同程度的损害,即使入侵不成功,也会使业务系统访问缓慢,即使在网络良好的情况下。 日志分析日志分析的前提是服务器开了日志审核策略,记录用户失败、成功的事件,这个在做基线检查的时候就会有这个。 言归正传,我们首先将服务器的用日志、日志、程序日志拷贝下来,进行本地分析一下入侵者的信息或者故障信息。

43920

事件工具箱

收集了一些常见的事件工具和资源列表,总收集47款实用工具,包括多引擎病毒检测、病毒查杀、勒索病毒搜索引擎、webshell检测、在线沙箱、分析、流量分析和日志分析等工具。 https:sd.360.cn火绒软件:一款非常精致的软件,包含了火绒剑,专业人士很好用的分析工具。 edr.sangfor.com.cn#informationransom_search05、Webshell检测工具网站被入侵时,我们需要一款Webshell检测工具,来帮助我们发现webshell,进一步排查系统可能存在的漏洞 :  微点沙箱:  魔盾分析:  大圣云沙箱:07、分析工具SysinternalsSuite:包含一系列免费的系统分析工具,如Process Explorer、启动项分析工具 AutoRuns https:processhacker.sourceforge.ioSysInspector:一个免费的系统检测工具。

23740
  • 广告
    关闭

    90+款云产品免费体验

    提供包括云服务器,云数据库在内的90+款云计算产品。打造一站式的云产品试用服务,助力开发者和企业零门槛上云。

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    工具年末大放送

    为了帮助分析师更好的完成工作,小编整理了一些现在比较流行的工具和资源,从磁盘镜像创建工具、内存分析工具到内存镜像工具、沙盒逆向工具等,相信总有一款适合你。 磁盘镜像创建工具? Memoryze:Mandiant公司的Memoryze是一款免费的内存取证软件,可帮助人员从实时内存中找到关键问题,Memoryze能捕获或者分析内存镜像。 GRR Rapid Response:GRR Rapid Response是一款专注于远程实时取证的事件框架,它由一个装在目标系统上的Python代理(客户端)和一个可与Python代理连接的Python FIR:Fast Incident Response (FIR) 是一款以快速简单为设计思想的网络事件管理平台,允许简单快速创建,跟踪,报告网络事件,对于CSIRTs,CERTs和SOCs非常有帮助 SCOT:Sandia Cyber Omni Tracker (SCOT)是一款专注于灵活性和易用性的时间手机和知识获取工具,其目标是在不加重用户负担的情况下提高事件过程值。

    1.2K60

    系统之 Linux 主机检查

    我们在做主机检查或事件处置时,避免不了要去检查系统的情况。 在这种情况下,本人写了一个 Linux 检查的脚本,该脚本主要在以下场景使用:1、Linux 主机检查时2、 Linux 主机发生事件需要面分析时该脚本完成有一段时间,最近在群里讨论 这个后期个人会进行相关的尝试,可能的话会进行相内容的分享。系统检查框架 ? 另外,操作上可以实现一键进行检查,并将检查后的结果保存到本机。只需要在hosts文本中输入相的IP、账号、密码。操作上人工参与最小化。各脚本功能说明下载后相关整个脚本的目录结构如下所示:? checkrulues: 部分判断逻辑,这里面目前仅有端口的判断逻辑,后期可以将进程、用程序是否有漏洞等逻辑放在这里面进行检查,比较简单的判断逻辑直接在 buying_linuxcheck.sh

    92530

    网络的回顾与展望

    网络的回顾与展望一.什么是?二.网络的启发三.保障整体工作中的作用四.事件处理的一般阶段五.的展望?----一.什么是? ----二.网络的启发 1988 Moris - 第一个计算机组织出现 1988年11月,罗伯特·塔潘·莫里斯(Robert Tappan Morris,著名密码学家Robert Morris 2001 CodeRed 红色代码——中国互联网预案以及体系 2001年的CodeRed红色代码事件促进了我国预案以及体系产生 红色代码 是2001年7月15日在互联网上观察到的一种电脑蠕虫 ,作为对人员,有效制定出对流程,做到事件之前的防护,事件之中的检测,以及检测到以后的和恢复。 以下为事件处理的一般阶段第一阶段:准备——严阵以待(策略、防御、程序、人员、工具、基础设施、资金)第二阶段:确认 ——对情况综合判断 (检测、调查、评、报告、决策)第三阶段:封锁——制止事态的扩大

    4K230

    聊聊

    “俗话说:好记性不如烂笔头,最近做了几个就来总结下。”      分为四个阶段:前期沟通,事件处理,事件分析,报告交付,前期沟通主要是和客户交流事件情况,了解是什么事件,客户是否做了处理,如果做了处理,做了那些处理。 沟通贯穿整个流程,也是最重要的,切记不要一上来就查,了解事件原因才会事半功倍。 (2)Autoruns(3)D盾webshell查杀(4)D盾防火墙(5)火绒剑0x04 总结   从前期的沟通确认,到异常发现与追踪,最后刻画攻击行为,不仅仅是一场事件的处理,我觉得更重要的是攻击者的攻击思路 ,他在这个系统里做了什么,他为什么要这么做,他这么做得到了什么,换作是你,你发现了这个漏洞,你会怎么做,向高手学习,才能成长更快,总而言之,,任重道远。

    28900

    脚本

    Windows 事件日志进行搜索的更好方法的解决方案。使用 Out-GridView,但如果需要,您可以使用 -raw 并导出到 csv/xls...

    10340

    之Windows、Linux

    Windows下系统: 首先 断网~一、检测阶段1. 备份Web页面 ?2. 查找隐藏账户 ?3. 查找可疑进程 ???4. 查杀Webshell ?5. 分析中间件日志 ? 5.根除阶段(1)修改服务器超级管理员账户密码(2)修改网站后台管理员账户密码(3)修复漏洞(4)更改后台地址6.接入网络恢复访问Linux下系统: 首先 断网~一、 检测阶段1.

    39410

    Linux 更新

    最近离职了,也有时间分享自己的一些心得了,下面介绍一下我自己本人在工作中做过的措施. 本次讲解 又Centos 与kali 2021 为例子 简介:1、目标在第一时间采取的措施,恢复业务到正常,调查事件发生的原因,避免同类事件发生,提供数字证据2、范围邮件钓鱼 ,黑客入侵,APT攻击,漏洞利用,网络攻击,数据外泄,时间通报,攻击溯源,网络异常,网站被黑,网站挂马,网站暗链,网站篡改3、的目的判断这次是否是被成功入侵的事件找到攻击者入口点提取恶意样本帮助客户梳理攻击者的攻击路线 1:secure 记录相关的信息2:Lastlog 当前登录用户日志3:wtmp 永久记录每个用户登录,注销以及系统的启动、停机事件4:Btmp 尝试登录且失败的日志 其他的日志1:Messages 使用率过高,那么可以使用 find -name *tmp* 查找出运行的程序这样查找文件 可以使用tar 打包出来放到线上云查杀 或者直接使用 kill -9 直接杀死程序这样就基本能杀死木马了 在事件中

    167100

    Linux笔记

    背景前一段时间我处理了一次,我还输出了一篇文章 Linux笔记。 这两天又处理了一次病毒入侵,在前一次的基础上,这次做了一些自动化脚本,效率有了一定程度的提升,故另做一份笔记。 操作笔记查看我上一次 Linux笔记,我发现罗列这么多命令,很多时候眼花缭乱,操作起来也不方便,不如写个shell脚本自动化收集信息。 ,挖矿病毒都还好,最坏情况是重装个环境,客户的数据是的,如果是勒索病毒就会很棘手。 无论如何,还是尽量保证系统性,减小系统入侵攻击面,这样可以极大保护系统不被入侵。

    28751

    Linux排查

    masquerade connections,and multicasl memberships一般主机在被入侵的时候都会往外部产生连接 netstat 这个可以查看当前的网络连接,路由表 接口统计 对的最大连接

    16500

    实战 | 记一次小程序cms事件

    首发于奇信攻防社区文章地址:https:forum.butian.netshare9111、事件发生 2021年11月16日,上级发来不良检测记录,内容包含为某站点存在涉DuBo违规内容,该站点为基于 2、事件溯源2.1 暂停服务首先进入宝塔关闭Apache与MySQL服务,其他途径告知用户系统正在维护2.2 保存现场环境 进入到宝塔的网站管理界面,点击被入侵站点,点击备份站点(数据库同理备份)。 因为备份文件过大,则把部备份通过宝塔的“腾讯云COSFS 2.0”插件,转储到cos里,在通过访问cos下载备份文件。 那么回到vscode继续检索preview.php得到结果结果还是比较多,在精确搜索一下,只显示有200回的成功筛选出4条记录,分别是其中第1与第2条IP地址均为浙江省金华市婺城区 电信 第3条与第4 使用D_SAFE补充验证2.9 分析preview.php1)首先该文件的首行该是if判断session是否为管理员,但在该文件内并没有写校验,故存在越权漏洞。

    8830

    Linux 手册 v1.1

    大家好,我是意大利的猫 2021.5.13 发布《Linux手册v1.0》 以后,陆续有兄弟建议我添加某些内容,同时给我反馈了一些问题,其中比较严重的问题就是有些图片显示不出来,该是之前markdown ssh config 后门检查增加 ptrace_scope 配置检查更新了部分文字表达v1.0 hello world很多兄弟下载了文档后仅仅当作是工具书,从未打开过,导致平时很多遇到的问题,攻防也好,也罢

    25640

    Linux 手册 v1.2

    后门检查增加 ptrace_scope 配置检查更新了部分文字表达v1.0 2020.5.3 hello world 很多兄弟下载了文档后仅仅当作是工具书,从未打开过,导致平时很多遇到的问题,攻防也好,也罢

    19310

    篇_windowsLogparser使用

    很多公司或者用户有这样的设置:当用户离开一段把时间,屏幕程序会锁定屏幕,解开屏幕输入账号密码就会产生该事件Logon Type 8 – NetworkCleartext网络明文登录,比如发生在IIS id=24659 装成功目录:?

    27520

    Linux之工具篇

    由于处理往往时间紧,所以尝试将中常见处理方法整合到脚本中,可自动化实现部分工作。 脚本采用python2.0完成,由于所有需要执行的命令都是依靠ssh进行远程链接,所以在运行脚本之前,需要输入正确的主机ip地址、ssh远程连接端口、ssh远程登录账户、ssh远程登录密码。 3、判断常见命令是否被篡改在之前的中出现过常见命令被非法篡改情况,如ps、netstat命令被恶意替换,利用stat查看文件详细信息,通过比对时间的方式判断命令是否被篡改。 查看passwd文件,查找用户id为0的特权用户12、secure日志分析日志分析是的重头工作,尤其是在后期的溯源阶段,日志分析更显得尤为重要,由于日志种类包括服务器日志、用日志,此处只是分析了 脚本整体的思路比较简单,就是远程登录到linux执行常见的命令,脚本中的命令在centos下都是可正常运行的,可以在根据实际环境自行在对命令做调整。

    1.1K51

    Window(五):ARP病毒

    采用措施:通过借助一些软件来实现局域网ARP检测及防御功能。 服务器狗Windows版下载:http:free.safedog.cnserver_safedog.html网络防火墙--攻击防护--ARP防火墙:? 0x04 防护措施  局域网防护依然是一项很艰巨的任务,网络的策略,个人服务器的防毒机制,可以在一定程度上防止病毒入侵。 另外不管是个人PC还是服务器,总还是需要做一些基本的防护:1、关闭135137138139445等端口 2、更新系统补丁喜欢这篇文章的人也喜欢 · · · · · ·▶ Window(一): FTP暴力破解▶ Window(二):蠕虫病毒▶ Window(三):勒索病毒▶ Window(四):挖矿病毒

    67720

    实战笔记(续)

    在上周,我发布了一个项目,我把它叫做实战笔记,收集和汇总了一些我经手处理的案例。 关于这份笔记,我将持续更新,希望能给那些从事运维的童鞋带来一些帮助,同时,希望小伙伴提供一些案例,你说案例我来写。就像老领导给我的留言一样:把经验写下来,有益于他人,更精进了自己。 站在攻防的角度,熟悉常见的权限维持技术。站在利益驱动的角度,揭秘各种黑帽灰产手法。未知攻焉知防,以攻写防,我觉得这可能会比纯粹的攻击更有趣。

    33720

    笔记之Linux篇

    整理下自己之前做的相关的碎片笔记,太多了,没办法部列出来,先整理一些常用的。1. f varlogauditaudit.log|grep password_monitor10.16 网页挖矿多数都是加载conhive.min.js,script标签里有miner.start关键字,局查找即可

    39141

    Linux 守护进程|

    最近被排做一些的工作,所以学习了一下Linux进程相关的知识,越学越多,那就记下来吧! 下面一些是BSD风的参数< 高优先级进程N 低优先级进程L 在内存中被锁了内存分页s 主进程l 多线程进程+ 代表在前台运行的进程可以看出执行 ping www.baidu.com 的时候ping是前台运行的进程 ,但是这个杀伤力太大了,所以一般不使用,主要还是了解session的概念,从web过来对于session这种机制该很容易理解。 中间STAT为Zs的进程是因为我忘了截图,就退出了重新来导致的,不用关注可以看到的是,对于每一个任务,tmux都会创建一个新的session、进程组、进程,这样实现多个进程之间互不影至此,关于Linux 的进程相关知识该将明白了,如果想从更加底层去分析,就去学习学习C和汇编吧!

    36320

    相关产品

    • 应急响应

      应急响应

      应急响应是当客户系统遭受安全事件时,由腾讯安全专家为您提供入侵原因分析、业务损失评估、系统恢复加固、以及黑客溯源取证的安全服务,减少因黑客入侵带来的损失。

    相关资讯

    热门标签

    扫码关注云+社区

    领取腾讯云代金券