展开

关键词

说说Windows安全应急响应

随着网络安全的快速发展,不少的互联网公司都积极的参与到了这个领域,随着《网络安全法》颁布与实施、等保2.0的颁布等为网路安全发展提供了有力的后盾。一个事物的快速发展,也会引起其它不利的事物萌芽。 在互联网高速发展的时代,我们应该如何保护个人信息不被窃取、不被不法分子当作利益的筹码,当我们遇到入侵事件的时候,我们应该怎么办,第一步怎么办,怎么推进排查过程、是否有应急预案等,这都是我们需要了解的。 说了这么多下面小白浅谈一下应急响应,我们看一下windows应急处理。 Windows安全应急处置 攻击者入侵一个网站必然会对企业的业务系统造成不同程度的损害,即使入侵不成功,也会使业务系统访问缓慢,即使在网络良好的情况下。 言归正传,我们首先将服务器的应用日志、安全日志、程序日志拷贝下来,进行本地分析一下入侵者的信息或者故障信息。

52220

安全事件应急响应工具箱

收集了一些常见的安全事件应急响应工具和资源列表,总收集47款实用工具,包括多引擎病毒检测、病毒查杀、勒索病毒搜索引擎、webshell检测、在线沙箱、安全分析、流量分析和日志分析等工具。 https://sd.360.cn/ 火绒安全软件:一款非常精致的软件,包含了火绒剑,安全专业人士很好用的分析工具。   VirusTotal:https://www.virustotal.com/gui/Joe  Sanbox:  腾讯哈勃分析系统:  360沙箱云:  奇安信沙箱:  微点沙箱:  魔盾安全分析 :  大圣云沙箱: 07、安全分析工具 SysinternalsSuite:包含一系列免费的系统分析工具,如Process Explorer、启动项分析工具 AutoRuns等。 https://processhacker.sourceforge.io/ SysInspector:一个免费的系统安全检测工具。

86840
  • 广告
    关闭

    腾讯云服务器买赠活动

    腾讯云服务器买赠活动,低至72元1年,买就送,最长续3个月,买2核送4核、买4核送8核

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    应急响应系统之 Linux 主机安全检查

    我们在做主机安全检查或安全事件处置时,避免不了要去检查系统的安全情况。 由于在多次的安全检查中遇到检查时都是几十台服务器要做一个全面检查的情况,如果人工手写脚本的话,一方面效率较低另一方面需要安全检查者熟悉所需要检查的项。 在这种情况下,本人写了一个 Linux 安全检查的脚本,该脚本主要在以下场景使用: 1、Linux 主机安全检查时 2、 Linux 主机发生安全事件需要全面分析时 该脚本完成有一段时间,最近在应急响应群里讨论 系统安全检查框架 ? login.sh:一键进行登录检查,安全检查时只需要运行该脚本即可 put.exp:将安全检查脚本上传到远程服务器上 readme.txt:使用相关说明文档 sh.exp:在远程服务器上执行安全检查脚本

    1.2K30

    应急响应脚本

    Windows 事件日志进行搜索的更好方法的解决方案。使用 Out-GridView,但如果需要,您可以使用 -raw 并导出到 csv/xls...

    18240

    安全应急响应工具年末大放送

    为了帮助安全分析师更好的完成工作,小编整理了一些现在比较流行的安全应急响应工具和资源,从磁盘镜像创建工具、内存分析工具到内存镜像工具、沙盒/逆向工具等,相信总有一款适合你。 磁盘镜像创建工具 ? Memoryze:Mandiant公司的Memoryze是一款免费的内存取证软件,可帮助应急响应人员从实时内存中找到关键问题,Memoryze能捕获或者分析内存镜像。 MozDef:MozDef(The Mozilla Defense Platform)正在寻找自动处理安全事件处理程序,并实时调用事件处理程序。 ? FIR:Fast Incident Response (FIR) 是一款以快速简单为设计思想的网络安全事件管理平台,允许简单快速创建,跟踪,报告网络安全事件,对于CSIRTs,CERTs和SOCs非常有帮助 SCOT:Sandia Cyber Omni Tracker (SCOT)是一款专注于灵活性和易用性的时间响应手机和知识获取工具,其目标是在不加重用户负担的情况下提高事件响应过程价值。

    1.3K60

    聊聊应急响应

    “俗话说:好记性不如烂笔头,最近做了几个应急响应就来总结下。”      应急响应分为四个阶段:前期沟通,事件处理,事件分析,报告交付,前期沟通主要是和客户交流事件情况,了解是什么安全事件,客户是否做了处理,如果做了处理,做了那些处理。 沟通贯穿整个应急响应流程,也是最重要的,切记不要一上来就查,了解事件原因才会事半功倍。 0x01 "止血"     应急响应事件分为五大类,网络攻击事件,恶意程序事件,web恶意代码,信息破坏事件和其他事件,每个事件的具体描述如下 image.png (图片来源:https://help.aliyun.com ,我觉得更重要的是攻击者的攻击思路,他在这个系统里做了什么,他为什么要这么做,他这么做得到了什么,换作是你,你发现了这个漏洞,你会怎么做,向高手学习,才能成长更快,总而言之,应急响应,任重道远。

    37500

    应急响应 - Tips

    HKEY_LOCAL_MACHINE\USERDAT\Software\Microsoft\Office\<VERS>\<PROGRAM>\Security\T...

    8820

    Windows应急响应

    web入侵:Webshell,网页挂马,主页篡改系统入侵:病毒木马,远控后门,勒索软件网络攻击:ARP欺骗,DDOS攻击,DNS劫持针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 常见的异常特征: 主机安全:CPU满负载,服务器莫名重启等 网站安全:出现webshell,被植入暗链,网页被篡改等 流量安全:网络堵塞,网络异常等 数据安全:数据泄露,数据被篡改等 文件安全:文件丢失 但是,在一次被入侵成功的安全事件,我们肯定需要一系列分析溯源,尽可能把整个事件还原,还需要出个应急响应报告的。 入侵排查思路 检查系统账号安全 检查异常端口、进程 检查启动项、计划任务、服务 检查系统相关信息 杀软查杀 日志分析 处置流程: 准备阶段:获取整个事件的信息(比如发生时间,出现啥异常等),准备应急响应相关工具 ,业务恢复 总结阶段:完整应急响应事件报告编写 挖矿 随着虚拟货币越来越火,挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一。

    11910

    网络安全应急响应的回顾与展望

    网络安全应急响应的回顾与展望 一.什么是应急响应? 二.网络安全应急响应的启发 三.应急响应安全保障整体工作中的作用 四.应急响应事件处理的一般阶段 五.安全应急响应的展望 ? ---- 一.什么是应急响应? ---- 二.网络安全应急响应的启发 1988 Moris - 第一个计算机应急响应组织出现 1988年11月,罗伯特·塔潘·莫里斯(Robert Tappan Morris,著名密码学家Robert 2001 CodeRed 红色代码——中国互联网安全应急预案以及应急响应体系 2001年的CodeRed红色代码事件促进了我国安全应急预案以及应急响应体系产生 红色代码 是2001年7月15日在互联网上观察到的一种电脑蠕虫 ,拿到我们的Shell,作为对应的安全人员,应有效制定出对应的应急响应流程,做到事件之前的防护,事件之中的检测,以及检测到以后的响应和恢复。

    4.1K230

    搭建Redis;Minerd安全应急演练环境

    近期公司需要进行一次安全运维应急演练,需要部署一套应急演练环境。想到几个月前公司的一台服务器的redis未认证授权漏洞导致被人放了挖矿程序,于是决定部署redis&minerd相结合的演练环境。 到这里,一个简单的利用redis漏洞运行minerd挖矿程序的环境就搭建完毕。 这样即使目标服务器重启也能启动sysservice,从而启动挖矿程序,这样一个掩藏较深的安全应急演练环境就搭建好了。 所谓知己知彼,方能百战百胜,在搭建安全演练环境的过程中,正式与攻击者的一种博弈,充分了解漏洞产生和利用的场景,在处理安全事件的过程中也能得心应手。

    47960

    Linux应急响应排查

    在linux中tmp 目录是 一个临时目录,每一个用户都可以对他进行读写操作,因此普通用户也可以对/tmp目录进行读写操作

    28300

    Linux 应急响应更新

    最近离职了,也有时间分享自己的一些心得了,下面介绍一下我自己本人在工作中做过的应急响应措施. 本次讲解 又Centos 与kali 2021 为例子 应急响应简介: 1、应急响应目标 在第一时间采取响应的措施,恢复业务到正常,调查安全事件发生的原因,避免同类事件发生,提供数字证据 2、应急响应范围 邮件钓鱼,黑客入侵,APT攻击,漏洞利用,网络攻击,数据外泄,时间通报,攻击溯源,网络异常,网站被黑,网站挂马,网站暗链,网站篡改 3、应急响应的目的 判断这次应急是否是被成功入侵的安全事件 找到攻击者入口点 里面包括了开机,修复,还原系统所需要的指令 10/tmp 任何人都可以读写的目录,重新启动目录中存放的文件会被删除 Linux日志文件知识 /var/log 下是Linux 所有的日志信息 下面安全相关的日志 1:secure 记录安全相关的信息 2:Lastlog 当前登录用户日志 3:wtmp 永久记录每个用户登录,注销以及系统的启动、停机事件 4:Btmp 尝试登录且失败的日志 其他的日志

    254100

    应急响应 - 小技巧

    11920

    Linux应急响应笔记

    背景 前一段时间我处理了一次应急响应,我还输出了一篇文章 Linux应急响应笔记。 这两天又处理了一次病毒入侵,在前一次的基础上,这次应急做了一些自动化脚本,应急响应效率有了一定程度的提升,故另做一份笔记。 PS:本文重在分享应急响应经验,文中保留了恶意网址,但是删除了恶意脚本及程序的下载路径。本文仅用于技术讨论与分析,严禁用于任何非法用途,违者后果自负。 应急操作笔记 查看我上一次 Linux应急响应笔记,我发现罗列这么多命令,很多时候眼花缭乱,操作起来也不方便,不如写个shell脚本自动化收集信息。 tar -zcvf GatherInfo.tar.gz GatherInfo 信息收集结果分析 查看自动化收集的信息GatherInfo下的所有文件内容,根据下面的Checklist表项进行挨个梳理排查 应急响应检查表

    34351

    应急能力提升4】实战应急响应经验

    ''' 01 — 靶场环境分配 靶场搭建在VM虚机中,在红队完成攻击模拟后制作镜像快照,然后导出分发给每一个应急响应小组。 02 — 应急响应时间 每个专题分析一周,各小组一般都是在下班后及利用周末时间进行分析。整个应急过程,加上报告编写及汇报材料准备,平均每个专题花费十天。 03 — 应急响应流程 在真实场景中,应急响应的情况多种多样,比如遇到勒索病毒、挖矿程序、网页篡改、DDOS攻击、CC攻击等,对应的响应流程也会不同。 这种场景一般是乙方安全公司做应急响应服务时的常规操作,降低了应急难度,提升效率。 看了各组应急响应报告中的修复建议,思路比较固定,基本都分为技术和管理方面。

    7910

    搭建Redis&Minerd安全应急演练环境

    近期公司需要进行一次安全运维应急演练,需要部署一套应急演练环境。想到几个月前公司的一台服务器的redis未认证授权漏洞导致被人放了挖矿程序,于是决定部署redis&minerd相结合的演练环境。 到这里,一个简单的利用redis漏洞运行minerd挖矿程序的环境就搭建完毕。 这样即使目标服务器重启也能启动sysservice,从而启动挖矿程序,这样一个掩藏较深的安全应急演练环境就搭建好了。 所谓知己知彼,方能百战百胜,在搭建安全演练环境的过程中,正式与攻击者的一种博弈,充分了解漏洞产生和利用的场景,在处理安全事件的过程中也能得心应手。

    44141

    REvil - 勒索病毒应急响应

    加载名为 AnalysisSession1 的 Mandiant 分析文件后,我导航到“分析数据>用户”以识别受感染主机上存在的不同用户。在这里我可以看到员工全...

    14720

    应急响应之入侵排查

    一、前言 常见的应急响应事件分类: Web入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门 网络攻击:DDOS攻击、DNS劫持、ARP欺骗 二、Windows入侵排查 检查系统账号安全 查看服务器是否有弱口令,远程管理端口3389,22等端口是否对公网开放 检查方法:问服务器管理员,简单直接要么简单扫描测试一下也可以 ? 结合日志,查看管理员登录时间、用户名是否存在异常 Win+R->eventvwr.msc 导出Windows的安全日志,利用LogParser进行分析 检查异常端口、进程 检查端口连接情况,是否有远程连接 检查启动项、计划任务、服务 检查服务器是否有异常的启动项 火绒等安全软件查看 Win+R->regedit,打开注册表,查看开机启动项是否正常,特别注意一下三个注册表项 HKEY_CURRENT_USER Webshell查杀 选择具体站点路径进行webshell查杀建议最少选择两款查杀工具可以互相补充规则库的不足 日志分析 系统日志 前提:开启审核策略 Win+R->eventvwr.msc->导出安全日志

    41520

    应急响应篇_windowsLogparser使用

    很多公司或者用户有这样的安全设置:当用户离开一段把时间,屏幕程序会锁定屏幕,解开屏幕输入账号密码就会产生该事件 Logon Type 8 – NetworkCleartext 网络明文登录,比如发生在IIS

    43320

    相关产品

    • 安全专家服务

      安全专家服务

      专家服务(ES)由腾讯云专业的安全专家团队提供安全咨询、网站渗透测试、应急响应、等保合规等服务,帮助用户在上云过程获得合适的安全解决方案、发现潜在安全威胁和提升用户的安全防护能力……

    相关资讯

    热门标签

    活动推荐

    扫码关注腾讯云开发者

    领取腾讯云代金券