首页
学习
活动
专区
工具
TVP
发布
您找到你想要的搜索结果了吗?
是的
没有找到

短信发送接口被恶意访问的网络攻击事件(三)定位恶意IP的日志分析脚本

前言 承接前文《短信发送接口被恶意访问的网络攻击事件(二)肉搏战-阻止恶意请求》,文中有讲到一个定位非法IP的shell脚本,现在就来公布一下吧,并没有什么技术难度,只是当时花了些时间去写这个东西,类似于紧急修复线上...接着第三步是通过对ip.txt文件的分析,定位出所有的不正常的IP,分析的比较简陋,做法是请求超过5次的都视为非法IP,其实5次已经算多的了,应该再小一点,但是其实在分析文件ip.txt文件过程中,发现正常的IP访问次数基本为一次...、两次,而非法IP则为百次或千次,因此阈值设置为5或者3并没有大的影响,重点是找出访问量较大的一些IP。...脚本代码 一开始的脚本,能够根据需求统计和记录出访问过多的IP地址了: #!

1.1K50

恶意软件分析–恶意

根据对Excel文件的详细分析,可以发现Excel包含20个不同的工作表和嵌入的恶意宏代码。...依存关系 以下是恶意软件代码中已观察到的依赖性以及执行所需的用户交互。 据观察,当受害者打开文档并启用宏时,此恶意软件提供了“自动运行/自动执行”功能。被感染的计算机会自动建立文件创建和CnC连接。...该恶意软件的设计与Windows环境兼容。 以下是此攻击的完整流程图。 通过分析发现行为 以下是此恶意软件的行为: 当受害者打开文档并启用宏时,受害者将看到以下消息框。...妥协指标 请访问我们的IoC威胁建议。 整治 为了对此进行补救,以下定义了以下几点: 与IP“ 185.141.61 [。] 120”一起阻止被阻止的网址dnsresolve [。]...与EDR和端点控件上的该恶意软件文件相关联的块哈希。 删除不必要的Appdata和临时条目。

1.8K10

宝塔面板设置禁止通过IP直接访问网站防止恶意解析

宝塔服务器管理是现在非常流行的一款免费的Linux管理应用,作为不想做过多运维操作的可以使用这个可视化操作 这篇文章来说一下怎么宝塔面板怎么操作禁止通过IP来直接访问网站,当然独立安装的也是同理 什么是恶意解析...恶意解析是指有人通过域名A记录直接解析自己IP地址,从而得到一个在访问者眼中完全相同网站,也会造成搜索引擎收录别人的域名 VPS的IP被人恶意绑定,流量被劫持到别的域名,从而遭到广告联盟的封杀 原理是什么呢...简单解释就是,你的网站可以通过IP直接访问,本来这没什么问题,但是如果被人恶意用别的域名解析到你的IP的话,那么你的网站就能通过别人的域名来访问了 广告联盟肯定也是跟域名绑定的,被人这么一搞,时间一长肯定会被发现域名不符...,于是就GG了 Nginx防止恶意解析 这里说一下使用宝塔面板,LNMP的环境下防止恶意解析的操作 需要绑定一个默认站点,也就是找一个空闲不用的站点,所有未在面板绑定的域名都会访问到这个默认站点 添加默认站点...原创文章采用CC BY-NC-SA 4.0协议进行许可,转载请注明:转载自:宝塔面板设置禁止通过IP直接访问网站防止恶意解析

6.7K30

【CDN】使用腾讯云CDN加快网站访问速度并防御恶意攻击

各位站长朋友们在漫长的建站之旅中,或多或少都会遇到以下几个问题:网站访问速度慢,导致搜索引擎不收录;在收录后,让用户们满怀期待地点开你的网站,最后却在漫长的等待中失落的选择了退出。...但是因为遭到同行的眼红,导致服务器被恶意DDoS,用户们打不开网站,以为站点倒闭,损失了很多老用户。一些高防节点由于价格很贵,导致站长朋友们因为经费问题而无从下手。...如果访问者只有IPv6网络,可以开启下方的IPv6访问。项目和标签保持默认即可,如果加速域名很多,则可以根据类型给他们分类。源站类型自有源如果你加速的站点是用云服务器搭建的,可以选择自有源。...静态网站:您可在COS上将存储桶设置为托管静态网站,并且通过访问存储桶的静态网站域名来访问,如需使用请先开启存储桶的静态网站功能,可前往 COS控制台 进行配置及管理。...这时,网站不仅速度变快,还可以防御恶意攻击了!

6.6K103

恶意样本 | 常用恶意软件分析平台

声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。...0x01 前言 做为一名网络安全爱好者在日常工作中难免会用到一些恶意软件检测平台,用来分析一些木马样本,例如:钓鱼邮件的恶意样本分析,分析网上下载的工具是否存在木马后门,自己编写了免杀工具查看其免杀效果等...接下来,小编通过网上搜集了一些恶意软件检测的在线平台,总结如下: 0x02 恶意软件检测分析平台 VirSCAN: https://www.virscan.org VirusTotal: https:/

1.8K30

扫描apache2服务器的access.log,找出恶意访问的ip,将其加入黑名单,禁止访问

任务:扫描apache2服务器的access.log,找出恶意访问的ip,将其加入黑名单,禁止访问。...现在让我们创建一条让之前那些IP块不能通过80端口访问web服务的iptable规则。...2、编写扫描脚本 扫描日志,取出日志里面的访问IP地址 import re import gzip import os badrequest=[' *******'] #恶意访问请求的特征文本...for s in s: ip=s.group() for item in badrequest: #匹配恶意请求文本...星期几和几日最好不要同时出现,因为它们定义的都是天,非常容易让管理员混淆 我们设置为: */1 * * * * /etc/python36/python /XXXX我们的脚本地址 含义是每分钟执行一次脚本,扫描出恶意

1.2K20

CentOS7下利用自带防火墙+Nginx封堵高频访问恶意IP

这篇文章仍旧是我好大哥@我不想把微信名字取的太长投稿,属于安全运维类,详细介绍了如何在CentOS7下利用自带防火墙和Nginx来封堵高频访问恶意IP!!!.../bin/bash #脚本详解:查询出nginx日志中访问量异常的ip进行封禁 #方法有很多可以利用nginx的deny方法,也可以采用iptables #我这里采用centos7自带的firewalld...#nginx日志位置 nginx_access_log=/var/log/nginx/access.log ip=/var/log/nginx/ip.txt #一分钟内ip访问量统计排序 cat...,前面的数字就是访问次数,后面一列是访问的ip。...]# curl http://127.0.0.1 开始循环访问: while true; do curl http://127.0.0.1; done 查看生成的日志: [root@VM-0-13-

1.1K60

如何进行内外网隔离、拦截恶意流量、控制流量访问?DMZ请求出战!

DMZ 区域中的服务器,然后 DMZ 区域中的服务器会访问 Trust 区域中的数据。...:可以通过在DMZ中部署服务器对外提供服务,让互联网用户使用相应的服务来实现; 拦截恶意流量:可以部署恶意流量检测设备,对流量进行隔离,保证业务的正常运行。...DMZ可以访问内网吗? 通常,区域间的流动就像瀑布的水,只能从安全性高的区域流向安全性低的区域。 默认情况下,DMZ 区域的安全级别低于内部网络,因此 LAN 网络无法访问。...但是也有一些特殊情况:比如WEB服务器放在DMZ区,而后端数据库放在局域网中,这就需要DMZ中的某些服务器可以访问局域网特殊机器上的特殊端口....出于安全考虑,我们还将防火墙配置为只允许DMZ内的特定服务器访问内网特定数据库的特定端口,从而降低安全风险。

1.6K30

三十一.恶意代码检测(1)恶意代码攻击溯源及恶意样本分析

恶意代码同源性分析,其目的是判断不同的恶意代码是否源自同一套恶意代码或是否由同一个作者、团队编写,其是否具有内在关联性、相似性。从溯源目标上来看,可分为恶意代码家族溯源及作者溯源。...恶意代码溯源: 是指通过分析恶意代码生成、传播的规律以及恶意代码之间衍生的关联性,基于目标恶意代码的特性实现对恶意代码源头的追踪。...了解恶意代码的演化,有助于更好地把握恶意代码的发展趋势,为攻击追踪溯源提供相关启示。文献[5]从时间维度给出了恶意软件典型功能演变历程,并将恶意软件的演化历程分为3个阶段。...三.学术界恶意代码溯源 学术界旨在采用静态或动态的方式获取恶意代码的特征信息,通过对恶意代码的特征学习,建立不同类别恶意代码的特征模型,通过计算待检测恶意代码针对不同特征类别的相似性度量,指导恶意代码的同源性判定...登陆主机后,一般为了维持对主机的访问权限,会尝试创建自己的账号及密码。 攻击者为了偷取数据,使用的ftp或者数据服务器信息。

4.2K30

新型OpcJacker恶意软件通过虚假的VPN传播恶意广告

恶意软件是通过在已安装得应用更新一个合法的DLL库时加载的,该应用也会加载另一个恶意DLL库。...OpcJacker通常是释放(或下载)和运行额外的模块,这些模块是远程访问工具,不是NetSupport RAT就是一个隐藏虚拟网络计算(hVNC)的变体。...这些恶意广告链接到一个恶意网站,这个恶意网站伪装成合法VPN软件的网站。网站的内容是从一个合法的商业VPN服务的网站上复制的,然而链接被修改为指向到一个内嵌恶意内容被黑网站。...这个可执行文件是一个远程访问工具。 图16. 嵌入式模块(PE EXE格式) 恶意软件通过注册表运行和任务调度器方法设置了持久性。请注意用于保存当前进程文件名的$itself_exe变量。...然而,在我们的测试场景中,我们观察到窃密器大多只是设置持久性和提供额外的模块(远程访问工具)。

65520

Adwind家族恶意软件

2012年初,开发人员开始销售Adwind家族的第一个基于Java的远程访问工具(RAT),称为“Frutas”。在随后的几年里它被改写了至少七次。...尽管我们怀疑在这个rat家族的后期迭代中更名的其他原因,但至少在本例中,adwind的作者试图将他的身份与恶意软件的开发和销售隔离开来。...恶意软件运营商使用一种称为“crypting”的技术来避免基于签名的防病毒检测。该技术将修改恶意软件二进制文件,使其具有新的、唯一的哈希值,而不改变其功能。...首次观察到Adwind家族的样本在2016年12月5日将Bullguard二进制文件“littlehook.exe”的注册表项添加到反恶意软件中。...█████ M█████ City: C███████ State: T██████ Country: Mexico 攻击仍在持续 自2012年起,Adwind Rat家族的销售已经导致了数以万计的恶意软件样本在野外和数以百万计的恶意软件攻击

97500

Aveo恶意软件分析

Aveo 恶意软件家族与 ForrmerFirstRAT 恶意软件家族有密切的联系,二者都针对日语用户。Aveo 会伪装成 Microsoft Excel 文档,并在执行时抛出诱饵文件。...Aveo 恶意软件家族 Aveo 恶意软件会在开始运行一个安装程序,该程序会复制自身到以下位置:%APPDATA%\MMC\MMC.exe如果因为某种原因,%APPDATA%\MMC 目录不能被创建,Aveo...恶意软件自身复制完成后,将会在新的进程中以原文件名为参数执行 MMC.exe。当执行时,如果提供了这单个参数,恶意软件将会删除掉制定路径内的文件。...Aveo 对注册表进行以下设置,以指向恶意软件的路径,从而保证重新启动后恶意软件仍然可以持久工作:HKCU\software\microsoft\windows\currentversion\run\msnetbridge...正如前面讨论的 FormerFirstRAT 样本,这个恶意软件家族看起来也是针对日语用户。使用自解压文件的 WinRAR 释放诱饵文档和 Aveo 的恶意软件副本以及清理脚本。

83760

Tor的恶意应用

(2)攻击者通过Tor网络向合法的比特币服务节点发送大量恶意构造消息,导致Tor网络正常的出口节点被比特币服务节点拒绝访问。...(3)用户通过Tor网络访问合法比特币节点时,如果选择了被拒绝访问的Tor出口节点则不得不重新选择访问链路。...利用蜜罐技术可以识别恶意出口节点(图9)。 (1)研究者在实验中[6]部署一个蜜罐网站,并且设置访问权限。...(3)如果该网站被登录过的用户名密码再次访问说明账号信息泄露,该账号对应的Tor出口节点已嗅探流量,视为恶意出口节点。...另外,Tor的出口节点也有可能修改用户请求数据或插入恶意代码实施中间人攻击,该种情况可以通过比较使用Tor网络访问网站和不使用Tor网络访问相同网站的响应数据是否一致,如果不一致即说明出口节点可能实现了中间人攻击

1.7K110
领券