学习使用

统计

登录

标签搜索

搜索到 2 篇与的结果 ———

Windows入侵排查

Windows入侵排查

前期交互这个阶段主要是先找客户了解主机的基本情况。如：主机是否存在弱口令主机是否对外网接通什么时候发现电脑被入侵，网络攻击的事件类型。主机日常是否有人进行维护主机是作为客户机还是服务器客户机：最近有没有点一些恶意链接，或收到钓鱼邮件服务器：主机开放了什么服务，日常扮演的角色。当我们对这台主机了解的越多，我们就越能有一个明确的排查思路，工作就会比较流畅。主机排查系统信息。1、操作系统信息开始-》运行-》cmd-》systeminfo2、补丁信息开始-》运行-》appwiz.cpl-》已安装更新从中查找这台主机的系统版本和所安装的补丁，判断是否有漏装的补丁。如：代号为KB4012212,KB4012215的补丁是微软针对Windows server 2008R2发布的永恒之蓝漏洞补丁。运行信息1、端口信息netstat -ano注意开放的可疑端口，如果主机未进行断网，则可能还在进行外连，这时需要重点注意ESTABLISHED。C:\Windows\System32\drivers\etc\service当你发现某个端口不正常的时候，可以输入ta...

admin

2022-01-19

1,974 阅读

0 评论

2022年01月19日

1,974 阅读

0 评论

Linux入侵排查

Linux入侵排查

问题出现前前期准备阶段需要系统维护人员将安全版本的系统提前打好快照，在系统出现问题的时候可以及时恢复。日常安全检测由系统维护人员使用初级检测技术进行检测，确定系统是否出现异常。在发现异常情况后，形成安全事件报告，由安全技术人员和安全专业技术人员介入进行高级检测来查找安全事件的真正原因，明确安全事件的特征、影响范围并标识安全事件对受影响的系统所带来的改变，最终形成安全事件的应急处理方案。问题出现后抑制风险扩散快速响应威胁，采取措施抑制风险的扩散。例如服务下线，或者将系统恢复到之前打的安全模式的快照。根除漏洞点抑制住风险后开始寻找问题源头，并进行修复，例如修改漏洞代码。目录1.利用自动化检测程序rookithunter进行检测第一步：下载与安装rookithunter 第二步：更新rkhunter 第三步：使用rkhunter 检查网络查看异常进程4.查看登陆情况5.查看历史操作6.查看被修改的文件7.检查有可能的提权点8.检查web应用方面(后门木马等)账号相关1.1 查看空口令和root权限账号，确认是否存在异常账号：1.2 加固空口令账号：1.3 添加口令策略1.4 ...

admin

2022-01-12

安全服务,应急响应

1,803 阅读

0 评论

2022年01月12日

1,803 阅读

0 评论

admin博主

访问 188639 ℃

81 文章数

8,302 评论量

热门文章

标签云

繁