背景 前一段时间我处理了一次应急响应,我还输出了一篇文章 Linux应急响应笔记。...这两天又处理了一次病毒入侵,在前一次的基础上,这次应急做了一些自动化脚本,应急响应效率有了一定程度的提升,故另做一份笔记。...PS:本文重在分享应急响应经验,文中保留了恶意网址,但是删除了恶意脚本及程序的下载路径。本文仅用于技术讨论与分析,严禁用于任何非法用途,违者后果自负。...应急操作笔记 查看我上一次 Linux应急响应笔记,我发现罗列这么多命令,很多时候眼花缭乱,操作起来也不方便,不如写个shell脚本自动化收集信息。...tar -zcvf GatherInfo.tar.gz GatherInfo 信息收集结果分析 查看自动化收集的信息GatherInfo下的所有文件内容,根据下面的Checklist表项进行挨个梳理排查 应急响应检查表
目录 排查用户相关的信息 排查进程端口相关的信息 查找恶意程序并杀掉 斩草除根 判断入侵方式,修复漏洞 当我们被告知一台Linux服务器被黑客入侵,黑客利用该服务器进行挖矿...#查看爆破用户名字典 总的来说,黑客入侵主机有下列几种情况: 通过 redis 未授权漏洞入侵(好多挖矿程序是通过这个) ssh 弱口令暴力破解 Web 程序漏洞入侵 参考文章: 记一次Linux...木马清除过程 相关文章:Redis未授权访问漏洞 Linux挖矿病毒的清除与分析 Linux下性能监控、守护进程与计划任务管理 来源:
背景 客户的监控系统发现有异常行为,我临时顶替应急的同事处理一下。...应急响应流程 言归正传,应急响应的标准流程应该如何?...Lessons learned总结反思事件,一方面从源头上减小安全事件的发现,另一方面提升应急响应的效率。 上面的应急响应还是非常片面的,我搜罗了一系列网友分享的应急响应经验,整理成章方便以后查阅。.../rkhunter/rkhunter/1.4.4/rkhunter-1.4.4.tar.gz 我测试的时候发现上面链接无法下载了,所以换了下面的链接 wget https://fossies.org/linux...查看Linux帐户 busybox cat /etc/passwd | grep -v nologin busybox cat /etc/shadow busybox stat /etc/passwd
排查过程 过程向客户了解情况后,登录了服务器进行检查,发现历史执行过的命令有些异常,系统帐号被添加了admin,用户组为admin,向客户确认后为客户所执行,帐...
最近被安排做一些应急响应的工作,所以学习了一下Linux进程相关的知识,越学越多,那就记下来吧!...在Linux中: 打开terminal,也就是终端程序,之后可以获得一个shell 通过ssh连接到linux的ssh-server 服务器,也可以获得一个shell 通常我们都是通过以上两种方式来获得一个...进程组 进程的概念大家都能理解的话,进程组就很好说了,其实就是一堆进程捆一起了,之后形成一个组就叫进程组了 这么做肯定是有意义的,不然Linux也不会这么搞,主要还是为了方便管理。...---- 参考文章 https://www.cnblogs.com/lvyahui/p/7389554.html https://wudaijun.com/2016/08/linux-job-control.../ https://zhuanlan.zhihu.com/p/80439267 http://www.ruanyifeng.com/blog/2016/02/linux-daemon.html https
针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,整理了一些思路。.../clamscan -r --bell -i /bin 扫描bin目录并且显示有问题的文件的扫描结果 10.webshell查杀 linux版本: 河马webshell查杀:http://www.shellpub.com
Windows下系统应急: 首先 断网~ 一、检测阶段 1. 备份Web页面 ? 2. 查找隐藏账户 ? 3. 查找可疑进程 ? ? ? 4. 查杀Webshell ? 5....5.根除阶段 (1)修改服务器超级管理员账户密码 (2)修改网站后台管理员账户密码 (3)修复漏洞 (4)更改后台地址 6.接入网络恢复访问 Linux下系统应急: 首先 断网~ 一、 检测阶段 1.
整理下自己之前做的应急响应相关的碎片笔记,太多了,没办法全部列出来,先整理一些常用的。 1....用户 Linux所有用户都会在/etc/passwd、/etc/shadow、/etc/group文件中记录 cat /etc/passwd :查看是否有其他uid,gid为0的情况 less /etc
目前已经推出windows基础篇及此篇linux基础篇试试水,方便大家进行该行动的时候查阅知识点进行基础溯源,同时也欢迎大家反馈想法与意见,如果后续效果可以的话,我们会推出一些真实脱敏的溯源加分案例进行交流...0x01 技能树 Linux常用命令 常见日志的位置以及分析方法 熟悉常规黑客的攻击手法 常规安全事件的处置思路 0x02 linux 常用命令 查找与文本操作 1、find 根目录下所有.jsp
0x00 前言 Linux盖茨木马是一类有着丰富历史,隐藏手法巧妙,网络攻击行为显著的DDoS木马,主要恶意特点是具备了后门程序,DDoS攻击的能力,并且会替换常用的系统文件进行伪装。...0x01 应急场景 某天,网站管理员发现服务器CPU资源异常,几个异常进程占用大量网络带宽: ? 0x02 事件分析 异常IP连接: ?...从以上种种行为发现该病毒与“盖茨木马”有点类似,具体技术分析细节详见: Linux平台“盖茨木马”分析 http://www.freebuf.com/articles/system/117823.html...悬镜服务器卫士丨Linux平台“盖茨木马”分析 http://www.sohu.com/a/117926079_515168 手动清除木马过程: 1、简单判断有无木马 #有无下列文件 cat /etc
由于应急处理往往时间紧,所以尝试将应急中常见处理方法整合到脚本中,可自动化实现部分应急工作。...3、判断常见命令是否被篡改 在之前的应急响应中出现过常见命令被非法篡改情况,如ps、netstat命令被恶意替换,利用stat查看文件详细信息,通过比对时间的方式判断命令是否被篡改。...查看passwd文件,查找用户id为0的特权用户 12、secure日志分析 日志分析是应急的重头工作,尤其是在应急后期的溯源阶段,日志分析更显得尤为重要,由于日志种类包括服务器日志、应用日志,此处只是分析了...脚本整体的思路比较简单,就是远程登录到linux执行常见的应急命令,脚本中的命令在centos下都是可正常运行的,可以在根据实际环境自行在对命令做调整。...blog.nsfocus.net/emergency-response-case-study/ https://github.com/grayddq https://github.com/T0xst/linux
针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Linux服务器入侵排查的思路。...这个日志文件中会记录Linux系统的绝大多数重要信息,如果系统出现问题时,首先要检查的就应该是这个日志文件 /var/log/btmp 记录错误登录日志,这个文件是二进制文件,不能直接vi查看,而要使用...clamscan -r --remove /usr/local/zabbix/sbin #查看日志发现 cat /root/usrclamav.log |grep FOUND 三、webshell查杀 linux
0x01 应急场景 某天,安全管理员在登录安全设备巡检时,发现某台网站服务器持续向境外IP发起连接,下载病毒源: ?
Liunx应急一直都是安全行业中的重点, 由于是全命令行界面,排查起来也没那么方便, 也一直想做这方面的笔记,今天抽空来总结一下。...---- 现场环境 ---- 如果是Linux系统的话,见过最多的是CentOS 6,Linux是全命令界面的, 如果是Windows系统的话,一般是Windows server 2008 ----...常见应急问题 大多数应急常见的问题都是挖矿,或者是被植入菠菜 小部分是中了勒索病毒,如果是勒索病毒的话,看看360、腾讯有没有什么 解密工具, 如果没有的话就重装系统吧,自求多福 (逃。。...---- 基本流程 接到应急指令后,一般都需要到客户现场去处理的,最好带上电脑 和笔记本。...查看有没有奇怪进程(ps) 命令: ps -aef | grep inetd grep 是搜索命令 inetd 程序是一个Linux守护进程. ? ? ---- 6.
0x01 应急场景 某天,网络管理员在出口WAF检测到某台服务器不断向中国香港I发起请求 ,感觉很奇怪,登录服务器排查,想要找到发起短连接的进程。
针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 Linux 服务器入侵排查的思路。...应急场景 某天,网站管理员登录服务器进行巡检时,发现端口连接里存在两条可疑的连接记录,如下图: ?...应急场景 某天,安全管理员在登录安全设备巡检时,发现某台网站服务器持续向境外IP发起连接,下载病毒源: ?...Linux 盖茨木马是一类有着丰富历史,隐藏手法巧妙,网络攻击行为显著的 DDoS 木马,主要恶意特点是具备了后门程序,DDoS 攻击的能力,并且会替换常用的系统文件进行伪装。...应急场景 某天,网站管理员发现服务器 CPU 资源异常,几个异常进程占用大量网络带宽: ? 事件分析 异常 IP连接: ?
0x03 隐藏权限 0x04 隐藏历史操作命令 技巧一:只针对你的工作关闭历史记录 技巧二:从历史记录中删除指定的命令 0x05 进程隐藏 第一种方法:libprocesshider 0x01 隐藏文件 Linux...下创建一个隐藏文件:touch .test.txt touch 命令可以创建一个文件,文件名前面加一个 点 就代表是隐藏文件 一般的Linux下的隐藏目录使用命令ls -l是查看不出来的,只能查看到文件及文件夹...,查看Linux下的隐藏文件需要用到命令:ls -al 这里,我们可以看到在/tmp下,默认存在多个隐藏目录,这些目录是恶意文件常用来藏身的地方。...touch -t 2001021042.30 1.php 0x03 隐藏权限 在Linux中,使用chattr命令来防止root和其他管理用户误删除和修改重要文件及目录,此权限用ls -l是查看不出来的...php 属性查看 chattr -i 1.php 解除锁定 rm -rf 1.evil.php 删除文件 0x04 隐藏历史操作命令 在shell中执行的命令,不希望被记录在命令行历史中,如何在linux
`strace -f -p pid` 查看进行的行为 busybox是应急常用的工具。...前两天在另外的项目组上发现的某个挖矿病毒就会修改hosts文件 这是从那台服务器上提取的一些恶意的配置内容 0.0.0.0 aliyun.one 0.0.0.0 evle.org 日志 secure是应急中最常用的文件...这个日志文件中会记录Linux系统的绝大多数重要信息,如果系统出现问题时,首先要检查的就应该是这个日志文件 /var/log/btmp 记录错误登录日志,这个文件是二进制文件,不能直接vi查看,而要使用...secure 记录验证和授权方面的信息,只要涉及账号和密码的程序都会记录,比如SSH登录,su切换用户,sudo授权,甚至添加用户和修改用户密码都会记录在这个日志文件中 注:secure 在一些较新的linux...root ; COMMAND=/sbin/shutdown -r now 常用的shell命令 find、grep 、egrep、awk、sed 1、grep显示前后几行信息: 标准unix/linux
其中较大的改动是加入了拷贝取证、进程启动文件检查 全盘拷贝常规情况都需要关闭受害主机,此时会失去进程以及内存信息 ,进程拷贝需要保证系统不变,更改系统后,进程无法恢复 本次更新将两者的优势结合了起来,让应急人员能够从客户现场将一个...2021.7.1 解决了上一版本中图片缺失问题 增加 ssh config 后门检查 增加 ptrace_scope 配置检查 更新了部分文字表达 v1.0 2020.5.3 hello world Linux...应急响应手册 v1.6 下载地址: https://pan.baidu.com/s/1R6VW-ydG7oGyW95cbyMG8g?
大家好,我是意大利的猫 2021.5.13 发布《Linux应急响应手册v1.0》 以后,陆续有兄弟建议我添加某些内容,同时给我反馈了一些问题,其中比较严重的问题就是有些图片显示不出来,应该是之前markdown...config 后门检查 增加 ptrace_scope 配置检查 更新了部分文字表达 v1.0 hello world 很多兄弟下载了文档后仅仅当作是工具书,从未打开过,导致平时很多遇到的问题,攻防也好,应急也罢
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
