腾讯云的应急响应怎么样 - 腾讯云开发者社区 - 腾讯云

开发者社区

文档建议反馈控制台

文章/答案/技术大牛

发布

某云用户网站入侵应急响应

1、情况概述该案例是前期应急处置的一起因安全问题导致的内网不稳定的情况。写下来，和大家一起讨论应急响应的一些思路及其中间遇到的一些坑，欢迎大牛指点、讨论。...情况是这样的：某用户发现在网络经常出现内网中断的情况，经其内部分析，初步判定可能为其在云上的一台虚拟服务器(Linux)异常导致，但是前期对这台虚拟主机进行常规的安全检查与数据包分析，并没有发现其有异常情况...但是考虑到用户的环境为云环境，其带宽、性能资源非常丰富，加上正常情况下，黑客入侵某一台服务器后，大都会进行内网渗透，内网渗透的话可以中间人、扫描等方式，如果人间人或者扫描的话很大可能会导致其内网不稳定。...4、应急响应不是渗透测试，需要根据现有的信息分析黑客是利用什么漏洞入侵的、入侵的IP、时间、并且入侵之后做了什么等。因此我们在应急响应时不要搞反主次，把应急响应当成渗透测试。...5、应急响应分析不仅仅局限于web这一块，系统这一块同样需要分析。如其账号、连接、进程、安装程序、自启动程序等。

1.4K7 0

应急响应团队建设：云上威胁响应周期模型

笔者在最近的安全沙龙上，同僚们表现出对应急响应方法论的渴求。所以我想通过真实案例来讲一下应急响应周期建设，以起到抛砖引玉之效，给大佬们的工作带来参考价值。 ? 自建的一个应急响应周期模型： ?...一、预备阶段这个阶段涉及安全红蓝对抗的蓝军安全建设，应用系统/基础设施加固，进行应急响应演练。...，该情况会对您的业务和华为云的服务产生影响，违反了《华为云用户协议》及相关的法律法规。...五、恢复恢复操作常赋予基础设施和应用系统进行，对于资产能够快速恢复，同时更好的协调响应。...应急管理定义在事故过程中和事故之后应该做的事情。为响应紧急事件、保持操作连续性以及处理重要中断而需要采取的行动必需记录在案，并让操作员工能随时获取。

1.2K2 0

您找到你想要的搜索结果了吗？

是的

没有找到

linux中ssh被爆破的应急响应

正常情况下不能再有其它特权用户 [root@Practice_Server ~]# awk -F: '$3==0{print $1}' /etc/passwd root 可以远程登录的帐号信息 [root...CWt208nzOWgk.HOf4/Euby99jIwgyK.regsRKU0L8raDubMO/::0:99999:7::: /var/log/secure，这个日志文件记录了验证和授权方面的信息，只要涉及账号和密码的程序都会记录下来...统计了下日志，发现登录失败的记录 [root@Practice_Server ~]# grep -o "Failed password" /var/log/secure|uniq -c 输出登录爆破的第一行和最后一行...安装perl支持 yum install perl yum install cpan #perl需要的程序库，需要cpan的支持登录成功的日期、用户名、IP： [root@Practice_Server...$1,$2,$3,$9,$11}' Mar 31 17:16:59 root 192.168.110.178 Mar 31 17:19:06 root 192.168.110.178 统计一下登录成功的IP

1000 0

会议沙龙｜XCon安全焦点：云原生自动化应急响应

腾讯安全云鼎实验室一直致力于云安全技术研究，对安全生态的构建和优化以及全球信息安全的动向与发展有着自己独到的见解，此次也该非常荣幸地通过了Xcon的话题征集，受邀参与分享。 ?...随着云计算的大规模普及，公有云的应急响应趋势已逐渐"被动响应"发展为"主动感知"。一方面云计算的灵活性、可扩展性和性价比吸引了更多的企业上云。...另一方面云计算的网络开放，资源共享特性也给网络攻击提供了更为广阔的土壤。传统单点对抗的应急响应已无法满足云时代的复杂攻击形态和规模。 ?...8月20日9：30-10：30，腾讯安全云鼎实验室专家焦小博带你走进《云原生自动化应急响应》，结合云计算的特点和云安全领域多年的应急溯源实战经验，将云平台和事件的应急响应和取证相结合。...通过案例和数据了解公有云安全威胁和应急响应现状，呈现一个云原生背景下完全自动化的入侵溯源方案，帮助应急响应人员在最短时间内定位入侵途径、溯源取证和输出应急策略，并通过实际运营为大家展示验证其效果。

1.5K2 0

对某次应急响应中webshell的分析

文章前言近期在处理一起应急事件时发现攻击者在WEB应用目录下上传了webshell，但是webshell似乎使用了某种加密混淆手法，无法直观的看到其中的木马连接密码，而客户非要让我们连接webshell...> 从上面我们可以看到输出的内容中有一串eval执行的内容，其中的变量正好是我们上面echo出来的内容，随后我们进行替换操作，替换后结果如下所示： '; base64_decode 紧接着我们再对上面的内容中的变量进行替换得到如下的结果：内容证实为一句话木马，连接密码为q，随后我们使用菜刀连接源webshell，成功交差文末小结本篇文章的起源主要是因为客户的需求也是因为个人的好奇心驱动，其中主要介绍了对应急响应过程中编码混淆的webshell...进行层层解码获取webshell连接密码的过程，之前曾写过的webshell免杀实践文章中主要的免杀思路在于借助PHP语言的特性以及函数来实现，感觉后面可以深入再分析一下关于PHP源码混淆加密处理在webshell

1171 0

事件应急响应管理的5条建议

什么是应急响应？通常来说，应急响应泛指安全技术人员在遇到突发事件后所采取的措施和行为。而突发事件则是指影响一个系统正常工作的情况。...多数企业都建立了应急响应的独立团队，通常称为计算机安全应急响应小组（Computer Security Incident Response Team，CSIRT），以响应计算机安全事件。...应急响应涉及多门学科，要求多种能力：通常要求从公司的不同部分获取资源。...人力资源部人员、法律顾问、技术专家、安全专家、公共安全官员、商业管理人员、最终用户、技术支持人员和其他涉及计算机安全应急响应的人员。当然这些人员大部分是兼职的，需要在应急响应工作中进行配合。...编者按：本文作者Sean Mason为思科公司事件应急响应服务部门主管，负责组织该公司内部事件响应实践3年多时间，本文由其作为博文发布在思科官网中。

1.1K3 0

专家精品｜从被动响应到主动感知：云原生自动化应急响应实战

最近参加了Xcon2020安全技术峰会，趁热打铁跟大家聊聊云平台上的原生自动化应急响应。随着云计算的大规模普及，公有云的应急响应趋势已逐渐从"被动响应"发展为"主动感知"。...如何在攻击前做好预防措施，攻击后快速有效的自动化溯源取证和风险收敛已经成为云时代应急响应技术的核心竞争力。应急响应的发展我认为近代应急响应的发展可分为两个时代：IDC时代和云时代。...应急响应的核心价值就是在安全事件突发时，快速有序的处理，最大限度的快速恢复业务和减少损失。因此响应和恢复速度将是云上应急响应的核心竞争力。...腾讯安全云鼎实验室结合多年的云上运营和实践经验设计出云原生自动化应急方案。...以上的就是本次要分享的云原生自动化应急响应方案，此方案通过与云平台基础设施相结合，利用大数据智能化分析和自动化手段有效的解决了应急响应中的三大难题。希望本次分享可以帮助大家做好云上的应急响应。

1.5K4 1

干货|基于被钓鱼主机的快速应急响应

,但是对于被钓鱼的终端,我们却很难进行有效排查,因此写这篇文章分享一下自己对于windows操作系统应急响应的一些看......作者:凝前言对于linux而言,除了rootkit,大部分的后门均可以使用工具快速排查,但是对于被钓鱼的终端,我们却很难进行有效排查,因此写这篇文章分享一下自己对于windows操作系统应急响应的一些看法和心得...首先说钓鱼,钓鱼无异于是进入内网最便捷有效的一种方式一般来说,一个合格的木马是具备权限维持的一些功能,即添加计划任务或者自启动等等,这也为我们的应急响应增添了不少的难度实验木马: cs的免杀马+添加自启动...我们运行改exe程序-->弹框同时cs上线接下来我们假装什么都不知道,对该电脑进行应急响应任务资源管理器我们先说传统的一些套路,通过任务资源管理器查看可以看到,在我们不进行操作的情况下,我们的恶意...以上也是个人在实际被钓鱼下的应急响应中不断思考形成的自己的一些应急思路,希望能给各位一些帮助

5132 0

网络安全应急响应的回顾与展望

网络安全应急响应的回顾与展望一.什么是应急响应？二.网络安全应急响应的启发三.应急响应在安全保障整体工作中的作用四.应急响应事件处理的一般阶段五.安全应急响应的展望 ?...---- 二.网络安全应急响应的启发 1988 Moris - 第一个计算机应急响应组织出现 1988年11月，罗伯特·塔潘·莫里斯（Robert Tappan Morris，著名密码学家Robert...2001 CodeRed 红色代码——中国互联网安全应急预案以及应急响应体系 2001年的CodeRed红色代码事件促进了我国安全应急预案以及应急响应体系产生红色代码是2001年7月15日在互联网上观察到的一种电脑蠕虫...在这一天，受感染的主机数量达到了359,000台。三.应急响应在安全保障整体工作中的作用问题：怎么样才算是“安全的”？...，拿到我们的Shell，作为对应的安全人员，应有效制定出对应的应急响应流程，做到事件之前的防护，事件之中的检测，以及检测到以后的响应和恢复。

5.6K23 0

响铃：云+峰会再召开，腾讯云的政企合作玩得怎么样了？

5月23日，“腾讯云+未来”峰会在广州再次召开，腾讯联合三大运营商成立的数字广东公司也亮相此次峰会，并举办了“云上科技共建数字广东”的启动仪式，为什么广东省能走在“数字中国”前面？...“用电量--经济”、“用云量--数字经济”这种逻辑是有实际数据做支撑的，据腾讯研究院与腾讯云联手调研测算，将全国388个城市的用云量结合《中国互联网+指数报告（2018）》测算的各个城市数字经济规模进行相关性分析...对接腾讯、华为等互联网前沿企业，数字广东能成为政企合作的标杆吗？ 1、硬实力：开放的广东与技术领先的腾讯政和企都要有足够的能力支撑其数字化变革，硬实力是前提。...而腾讯的业界地位也是不容小觑，此次腾讯云+峰会召开，还为城市装上会思考分析、能判断决策的城市超级大脑，为破解广东省数字化转型瓶颈与难题提供了系统的解决方案。...用马化腾的话说，腾讯要做的就是“数字化助手”，有大量的消费者的连接终端。

11.2K2 0

应急响应中的文件时间：mtime、atime、ctime

Modify：最后一次修改文件内容的时间 Access：最后一次访问文件内容的时间 Change：最后一次文件属性变化的时间 modify修改和change变化的区别是，修改侧重人为修改（用户控制），变化侧重客观变化...改变atime的命令：改变mtime的命令(管道符改变mtime时不改变atime) vim(查看)、cat grep、sed、awk less、more 改变ctime的命令：改变mtime的命令...查看方式是：查看全部时间：选中文件，单击鼠标右键，选择属性查看修改时间：dir 文件名 /t:w 查看访问时间：dir 文件名 /t:a 查看创建时间：dir 文件名 /t:c 文件时间在应急响应中的作用...文件时间的可信度？ 01 攻击者为什么要篡改文件时间？干扰防守方应急 02 往前改还是往后改？...往前改到入侵开始前的时间，日志量变大可以拖慢防守方的排查效率，如果历史日志被覆盖了还可以影响防守方的排查思路。往后改到入侵结束后的时间，由于日志没有入侵痕迹从而可以切断防守方的应急线索。

1591 0

应急响应-遭受入侵的通用处置方法

应急响应通用方法查看日志通过cmd输入eventvwr.msc打开事件查看器在%SystemRoot%\System32\Winevt\Logs\位置存放着日志文件常见的事件ID 安全日志...\..\ 内存马简介：随着攻防演练热度越来越高，攻防双方的博弈，流量分析、EDR等专业安全设备被蓝方广泛使用，传统的文件上传的webshell或以文件形式驻留的后门越来越容易被检测到，内存马使用越来越多...base64编码后的结果冰蝎3.0 快速识别特征方式 1、Accept字段冰蝎中使用的Accept字段与常规浏览器使用的不同，且每次请求使用的Accept内容都相同 2、长连接冰蝎通讯默认使用长连接...，避免了频繁的握手造成的资源开销。...默认情况下，请求头和响应头里会带有 Connection: Keep-Alive 3、较长的base64编码的请求包在加密通讯时，p/jsp shell 会提交base64编码后的请求数据哥斯拉

1.6K1 0

主机被植入木马后的应急响应思路

按理说我们这时候应该列出各种图表和操作命令系统截图，来溯源整个入侵的过程,辅助大家理解整个事件的前因后果。这也是“糖果的实验室”公众号，第二次写应急。...就算这种场合，也有会在评论里说，他们不关心娱乐，说这口才不适合做什么什么的应该去说相声，对看文章找错别字的朋友，只能不好意思了。接着主题说，问题既然这么发生了，接下来如何应急呢？...这是一种比较常见的入侵。特别是在各种云厂商的服务上。其实每家云服务厂商都有自己的防护系统。但即使有这些防护系统，云主机被入侵的概率也是不小的。姜老师面临一个比较尴尬的局面就是。...往往这种被入侵的事件发生的概率很高的。但是我们一般都有多少种途径来解决这种问题？像这种云服务。他们本身提供的防护系统不起作用。一般这时候的云服务使用者不会再另外构建一个自己的安全防护系统。...针对这一点，响应的一个办法就是将所有境外中国以外的服务请求全部关闭掉。很明显，这个业务是一个地域性很强中文业务。不提供境外支付方式进行交易。大面积的订单都是在中国境内完成。

9792 1

针对Windows的事件应急响应数字取证工具

DFIRTriage描述 DFIRTriage这款工具旨在为安全事件应急响应人员快速提供目标主机的相关数据。...该工具在运行过程中，将会自动化执行各种命令，获取到的数据将存储在工具执行目录的根目录下。除此之外，DFIRTriage还可以直接从USB驱动器中运行，也可以通过远程Shell来在目标主机上运行。...； 2、搜索工具为独立的可执行文件-dtfind.exe； 3、双击即可运行依赖环境工具库包含正确执行所需的完整工具集，并打包到一个名为“core.ir”的单个文件中。...在Python中运行时，此“.ir”文件是DFIRtriage唯一必需的依赖项，位于名为data的目录中（即“/data/core.ir”）。...DFIRtriage的编译版本嵌入了完整的工具集，不需要添加“./data/core.ir”文件。注：不再使用TZWorks实用程序。

1.5K2 0

主机应急响应与电子取证的经验分享

根据一些杀毒软件的报警就可以标识出恶意软件的类型与名字，如下图为此一个兰塞姆（勒索）类型的Wannacry（想哭）家族的病毒样本，对于此类情况往往可以直接一键处理较为简单。 ?...通过此图可以发现 mssecsvc.exe 对大量随机的外网IP 的445 端口进行SYN 包的探测，这是Wannacry 病毒的传播过程。...对于一些其他的通信过程流量，我们往往需要通过其他方式来识别，这里推荐的Wireshark 的抓包工具进行抓包识别恶意流量，以下为Nmap的的端口扫描的数据包。 ?...Windows核心进程 // 如 2.系统进程// svchost.exe(Windows服务主进程) 、lsm.exe(本地回话管理器) 3.用户进程 // qq.exe(腾讯QQ主程序) 、chrom.exe...\servicecrsssr.vbs的启动项，就是病毒的自己添加的，定位到路径后直接删除。

9452 0

针对蓝队的Linux应急响应基础总结

针对蓝队的一些Linux应急响应的一些常规的命令以及一些思路总结一下分享给大家，内容稍长，可以收藏以备不时之需。...查看Linux中占用资源情况(必须是大写的cpu) top -c -o %CPU -c 显示进程的命令行 -p 显示进程的pid cpu占用前5的信息 ps -eo pid,ppid,%mem,%cpu...,cmd --sort=-%cpu | head -n 5 查看网络通信的情况 lsof -i -PnR 寻找pid对应的进程 ps aux | grep [pid] 查看进程打开的文件 lsof...INPUT/OUTPUT -s/d [目标ip] -j ACCEPT/DROP //封闭119.1地址对本机的访问 iptable -L //查看设置的所有规则内容 iptable -F...ls -al /tmp | grep "Feb 10" 敏感目录 /tmp /root /bin /usr/bin /usr/sbin /sbin 被入侵的系统，肯定有文件被改动，通过比较文件的md5

1.1K2 0

一次远程命令执行引发的应急响应

在发现入侵事件时，基于入侵现象进行排查，结合日志进行关联分析，对未知情况作合理的猜测，还原攻击场景，找到漏洞根源，这是很重要的任务。...（2）排查异常进程查看进程情况，在进程信息中找到了反弹shell命令的特征，base64解码后的通讯ip，与上面发现的一致。执行shell反弹的父进程位60753，该进程为java进程。 ?...（4）web日志分析 java进程所对应的是web应用程序，基于异常命令执行的时间节点，对相关web日志进行分析，确认入侵时间范围内是否存在可疑的行为。 ?...未发现异常的web访问行为，都只有访问网站首页的记录，那么它到底是如何入侵的呢？合理的猜测：结合前面发现Java进程执行dnslog探测等行为，猜测可能存在框架组件存在远程命令执行漏洞。...（5）web框架组件在web框架组件中，发现低版本的shiro组件，存在明显的远程命令执行漏洞。

1.1K1 0

记一次真实的应急响应案例（1）

收到阿里云通知，服务器正在对外发起攻击，需要排查具体情况。...三、文件排查 01、时间点排查通过恶意程序的ctime确定攻击者的活动时间，并由此排查攻击者创建、修改、查看过的文件（PS：查看过的文件=使用过的命令），来排查其它异常文件和行为。...02、敏感目录排查排查临时目录下的文件，未发现其它异常文件：排查命令目录下的文件，未发现被恶意替换的命令： 03、特权文件排查排查特殊权限的文件，未发现其它异常文件：四、文件分析使用沙箱分析攻击者上传的恶意程序...成功获得SSH服务root账户的密码。备注：是我练习篡改ctime时把服务器时间改成2020-11-22的，详见：《应急响应中的文件时间：mtime、atime、ctime》。...同时为了练习应急把SSH设成弱口令，结果忘了把服务器时间改回来就被入侵了。通过查看相关恶意进程的启动时间，可以知道真实入侵时间是在2023-11-22 10:38:38前后。

1612 0

一份处理宕机的应急响应入门指南

于是我接受了他的建议，写下这篇文章。如果你搜索过应急响应（Incident Response）这个概念，会发现有很多结果是关于应急角色（incident role）的。...Atlassian 上有一些优秀的文档很好地解释了这些概念。简单来说：应急角色可随着你响应团队的成长而帮助扩展应急规模。角色有助于分离职责，确保应急工作的各个方面都有专人值守。...我认为，指挥官和联络人是至关重要的——在没有足够培训的前提下增加粒度会扰乱应急工作，并削弱你的响应能力。...第三，使用高效率工具、创建应急文档鉴于沟通交流在应急响应工作中的重要性，你需要一款高效率工具来传递即时消息并记录操作日志。...为了准备好这个通道，多花费一分钟的停机时间也是值得的。我坚决反对私有应急响应频道。公司内部使用的公共通道可以提升信息访问的便捷性，从而加强你的响应能力。

7161 0

域名劫持事件发生后的应急响应策略

在本文中，我们会详细介绍针对上述场景的应急响应方案。另外，这一威胁对信息安全策略和安全布局的颠覆，我们可以用一些简单的方法进行缓解。...事件响应与大多数网络事件一样，你只需要加载备份和配置就能恢复你的基础设施。在这个事件当中，所有的服务器其实并没有受到损害。在这些情况下，你有两件事要做：第一，找回域名注册网站上的登陆凭证。...网站凭证是如何失窃的在这期间，公司应急响应团队中有一部分人员负责恢复网络环境，另一部分人员开始分析凭证失窃的原因。...建立事件响应计划你需要有一个针对这类事件的详尽的应对措施，咱们总会有用到的时候。...另外，大家需要注意的是，计划中需要包括：域名注册商的紧急联系方式（联系人和电话号码）提醒客户的另一个安全途径（非email）同域名注册商建立常规应急通信流程（如模拟练习） * 参考来源：Linkedin

3.4K6 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭