学习使用

统计

登录

标签搜索

搜索到 26 篇与的结果 ———

Linux应急排查

Linux应急排查

Linux下排查方法Linux系统基础知识Etc/sysconfig/network-script/ 网卡配置目录结构/bin 放置系统命令目录，/bin目录可以在维护模式下还可以被操作/boot 放置开机使用的文件，包括linux核心文件以及开机选单与开机所需设定文件/dev 放置装置与周边设备都是以文件的形态，存在于这个目录当中/etc 系统主要的设定文件几乎都放置在这个目录内，列如人员的账户密码文件，各种服务的起始文件等等/home 系统预设的使用者家目录(home,directory) 你新增的用户家目录都会规范进来/lib和/lib64 系统的函试库非常的多，而.lib或者/lib64放置常用的函数/opt 存放第三方软件和位置目录/root root用户的家目录/sbin linux有非常多指令是用来设定系统环境的，这些指令只有root才能够利用来设置系统，里面包括了开机，修复，还原系统所需要的指令/tmp 任何人都可以读写的目录，重新启动目录中存放的文件会被删除用户组所有者，所在组，其它组文件普通权限Rwx r=4 w=2 x=1文件特殊权限SUID：s出现在文件...

admin

2022-11-26

633 阅读

0 评论

2022年11月26日

633 阅读

0 评论

Windows 排查方法

Windows 排查方法

Windows 排查方法Windows常见命令Regedit 查看策略表Msconfig 查看系统配置Taskmgr 启动任务管理器Eventvwr,msc 打开日志的命令Gpedit.msc 打开本地组策略Compmgmt.msc 计算机管理Lusrmgr.msc 打开用户与组Taskschd 打开计划任务Net user xxx /add 添加用户Net localgroup administrators xxxx /add 把某用户放到管理员组里面Net session 查询当前会话Net start 查看当前运行的服务Net use 查看当前共享连接Net share 查看共享映射的盘符，连接状态Net share xxx /del 删除共享的链接查看隐藏用户可以去，用户管理Findstr /s /I “hellow” ** 查询包含hellow 的关键字Attrib 查看文件属性Attrid 1.txtAttrid -R常见路径系统变量敏感文件路径%WINDIR% C盘 windows%WINDIR%\system32\% c盘windo...

admin

2022-11-26

Windows应急响应

582 阅读

0 评论

2022年11月26日

582 阅读

0 评论

勒索病毒-应急响应

勒索病毒-应急响应

勒索病毒0x00 前言勒索病毒，是一种新型电脑病毒，主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。自WannaCry勒索病毒在全球爆发之后，各种变种及新型勒索病毒层出不穷。0x01 应急场景某天早上，网站管理员打开OA系统，首页访问异常，显示乱码：0x02 事件分析登录网站服务器进行排查，在站点目录下发现所有的脚本文件及附件都被加密为.sage结尾的文件，每个文件夹下都有一个!HELP_SOS.hta文件，打包了部分样本：打开!HELP_SOS.hta文件，显示如下：到这里，基本可以确认是服务器中了勒索病毒，上传样本到360勒索病毒网站（http://lesuobingdu.360.cn）进行分析：确认web服务器中了sage勒索病毒，目前暂时无法解密。绝大多数勒索病毒，是无法解密的，一旦被加密，即使支付也不一定能够获得解密密钥。在平时运维中应积极做好备份工作，数据库与源码分离（类似OA系统附件...

admin

2022-02-28

Windows应急响应,安全服务

951 阅读

0 评论

2022年02月28日

951 阅读

0 评论

FTP暴力破解-应急响应

FTP暴力破解-应急响应

FTP暴力破解0x00 前言 FTP是一个文件传输协议，用户通过FTP可从客户机程序向远程主机上传或下载文件，常用于网站代码维护、日常源码备份等。如果攻击者通过FTP匿名访问或者弱口令获取FTP权限，可直接上传webshell，进一步渗透提权，直至控制整个网站服务器。0x01 应急场景从昨天开始，网站响应速度变得缓慢，网站服务器登录上去非常卡，重启服务器就能保证一段时间的正常访问，网站响应状态时而飞快时而缓慢，多数时间是缓慢的。针对网站服务器异常，系统日志和网站日志，是我们排查处理的重点。查看Window安全日志，发现大量的登录失败记录：0x02 日志分析安全日志分析：安全日志记录着事件审计信息，包括用户验证（登录、远程访问等）和特定用户在认证后对系统做了什么。打开安全日志，在右边点击筛选当前日志，在事件ID填入4625，查询到事件ID4625，事件数177007，从这个数据可以看出，服务器正则遭受暴力破解：进一步使用Log Parser对日志提取数据分析，发现攻击者使用了大量的用户名进行爆破，例如用户名：fxxx，共计进行了17826次口令尝试，攻击者基于...

admin

2022-02-28

Windows应急响应,安全服务

820 阅读

0 评论

2022年02月28日

820 阅读

0 评论

挖矿病毒（二）-应急响应

挖矿病毒（二）-应急响应

挖矿病毒（二）0x00 前言　　作为一个运维工程师，而非一个专业的病毒分析工程师，遇到了比较复杂的病毒怎么办？别怕，虽然对二进制不熟，但是依靠系统运维的经验，我们可以用自己的方式来解决它。0x01 感染现象1、向大量远程IP的445端口发送请求2、使用各种杀毒软件查杀无果，虽然能识别出在C:\Windows\NerworkDistribution中发现异常文件，但即使删除NerworkDistribution后，每次重启又会再次生成。连杀软清除不了的病毒，只能手工来吧，个人比较偏好火绒，界面比较简洁，功能也挺好用的，自带的火绒剑是安全分析利器。于是安装了火绒，有了如下分析排查过程。0x02 事件分析A、网络链接通过现象，找到对外发送请求的进程ID：4960B、进程分析进一步通过进程ID找到相关联的进程，父进程为1464找到进程ID为1464的服务项，逐一排查，我们发现服务项RemoteUPnPService存在异常。 C、删除服务选择可疑服务项，右键属性，停止服务，启动类型：禁止。停止并禁用服务，再清除NerworkDistribution目录后，重启计算机。异常请求和目录的现...

admin

2022-02-27

Windows应急响应,安全服务

797 阅读

0 评论

2022年02月27日

797 阅读

0 评论

查看更多

admin博主

访问 188648 ℃

81 文章数

8,302 评论量

热门文章

标签云

繁