学习使用

统计

登录

标签搜索

搜索到 5 篇与的结果 ———

挖矿病毒（二）-应急响应

挖矿病毒（二）-应急响应

挖矿病毒（二）0x00 前言　　作为一个运维工程师，而非一个专业的病毒分析工程师，遇到了比较复杂的病毒怎么办？别怕，虽然对二进制不熟，但是依靠系统运维的经验，我们可以用自己的方式来解决它。0x01 感染现象1、向大量远程IP的445端口发送请求2、使用各种杀毒软件查杀无果，虽然能识别出在C:\Windows\NerworkDistribution中发现异常文件，但即使删除NerworkDistribution后，每次重启又会再次生成。连杀软清除不了的病毒，只能手工来吧，个人比较偏好火绒，界面比较简洁，功能也挺好用的，自带的火绒剑是安全分析利器。于是安装了火绒，有了如下分析排查过程。0x02 事件分析A、网络链接通过现象，找到对外发送请求的进程ID：4960B、进程分析进一步通过进程ID找到相关联的进程，父进程为1464找到进程ID为1464的服务项，逐一排查，我们发现服务项RemoteUPnPService存在异常。 C、删除服务选择可疑服务项，右键属性，停止服务，启动类型：禁止。停止并禁用服务，再清除NerworkDistribution目录后，重启计算机。异常请求和目录的现...

admin

2022-02-27

Windows应急响应,安全服务

797 阅读

0 评论

2022年02月27日

797 阅读

0 评论

SQLserver日志分析

SQLserver日志分析

MSSQL日志分析常见的数据库攻击包括弱口令、SQL注入、提升权限、窃取备份等。对数据库日志进行分析，可以发现攻击行为，进一步还原攻击场景及追溯攻击源。0x01 MSSQL日志分析首先，MSSQL数据库应启用日志记录功能，默认配置仅限失败的登录，需修改为失败和成功的登录，这样就可以对用户登录进行审核。登录到SQL Server Management Studio，依次点击管理--SQL Server 日志双击日志存档文件即可打开日志文件查看器，并可以对日志进行筛选或者导出等操作。另外，MSSQ提供了一个工具SQL Server Profiler ，方便查找和发现SQL执行的效率和语句问题。日志分析案例：在日志文件查看器中，选择筛选，在筛选设置中源设置为“登录”，应用筛选器，确定。筛选后的结果，可以很清晰的识别用户登录信息，记录内容包括用户登录时间、登录是否成功、登录使用的账号以及远程登录时用户使用的IP地址。如下图：客户端：192.168.204.1进行尝试弱口令登录，并发现其中有一条登录成功的记录。0x02 SQL注入入侵痕迹在利用SQL注入漏洞的过程中，我们会尝试利用sq...

admin

2022-02-17

1,517 阅读

0 评论

2022年02月17日

1,517 阅读

0 评论

Windows日志分析

Windows日志分析

日志位置Windows 2000 / Server2003 / Windows XPC:\Windows\System32\winevt\LogsWindows Vista / 7 / 10 / Server2008 及以上版本C:\Windows\System32\Config\查看日志：Security.evtx、System.evtx、Application.evtx如何查看：右键我的电脑-管理-系统工具-事件查看器，或者eventvwr查看事件查看器日志分类应用程序日志、系统日志和安全日志系统日志系统日志包含由Windows系统组件记录的事件，记录系统进程和设备驱动程序的活动。由它审核的系统事件包括启动失败的设备驱动程序、硬件错误、重复的IP地址以及服务启动、暂停和停止。系统日志也记录启动期间要加载的驱动程序或其他系统组件的故障，记录的事件类型也是预先确定的。%SystemRoot%\System32\Winevt\Logs\System.evtx安全日志安全日志记录各种系统审核和安全处理，包括用户权限的变化、文件和目录的访问、打印以及用户系统登陆和注销，如有效或无效的登...

admin

2022-02-14

1,524 阅读

0 评论

2022年02月14日

1,524 阅读

0 评论

mysql日志分析

mysql日志分析

MySQL日志分析常见的数据库攻击包括弱口令、SQL注入、提升权限、窃取备份等。对数据库日志进行分析，可以发现攻击行为，进一步还原攻击场景及追溯攻击源。0x01 Mysql日志分析general query log能记录成功连接和每次执行的查询，我们可以将它用作安全布防的一部分，为故障分析或黑客事件后的调查提供依据。1、查看log配置信息 show variables like '%general%'; 2、开启日志 SET GLOBAL general_log = 'On'; 3、指定日志文件路径 #SET GLOBAL general_log_file = '/var/lib/mysql/mysql.log';比如，当我访问 /test.php?id=1，此时我们得到这样的日志：190604 14:46:14 14 Connect root@localhost on 14 Init DB test 14 Query SELECT * FROM admin WHERE id = 1 ...

admin

2022-02-11

1,367 阅读

0 评论

2022年02月11日

1,367 阅读

0 评论

Linux/Apache日志分析

Linux/Apache日志分析

/var/logaccess-log 纪录HTTP/web的传输acct/pacct 纪录用户命令aculog 纪录MODEM的活动btmp 纪录失败的纪录lastlog 纪录最近几次成功登录的事件和最后一次不成功的登录messages 从syslog中记录信息(有的链接到syslog文件)sudolog 纪录使用sudo发出的命令sulog 纪录使用su命令的使用syslog 从syslog中记录信息(通常链接到messages文件)utmp 纪录当前登录的每个用户wtmp 一个用户每次登录进入和退出时间的永久纪录xferlog 纪录FTP会话日志文件说明/var/log/cron记录与系统定时任务相关的曰志/var/log/cups/记录打印信息的曰志/var/log/dmesg记录了系统在开机时内核自检的信总。也可以使用dmesg命令直接查看内核自检信息/var/log/btmp记录错误登陆的日志。这个文件是二进制文件，不能直接用Vi查看，而要使用lastb命令查看。命令如下： [root@localhost log]#lastb root tty1 Tue Jun ...

admin

2022-02-02

4,067 阅读

0 评论

2022年02月02日

4,067 阅读

0 评论

admin博主

访问 188642 ℃

81 文章数

8,302 评论量

热门文章

标签云

繁