随笔分类 -  应急响应

第220-221天:应急响应篇&Web内存马查杀&JVM分析&Class提取&诊断反编译&日志定性
摘要:内存马 内存马访问触发特征: 1.URL地址路径 在源码中没有的,不存在的 查杀脚本-java-memshell-scanner 项目地址:https://github.com/c0ny1/java-memshell-scanner 通过jsp脚本扫描并查杀各类中间件内存马,比Java agent要 阅读全文
posted @ 2026-03-03 00:20 JuneCy 阅读(32) 评论(0) 推荐(0)
第218-219天:-应急响应篇&近源攻击&Docker镜像&容器分析&Dockfile路径定位&基线扫描
摘要:docker镜像存在挖矿应急 top 查看内存 假如存在某个进程一直存在,除了计划任务,启动项等,还有就是在docker中运行 查看所有容器镜像 docker ps -a docker history pmietlicki/xmrig | grep xmrig 查看历史镜像信息 docker exe 阅读全文
posted @ 2026-02-26 09:07 JuneCy 阅读(1) 评论(0) 推荐(0)
第218-219天:应急响应篇&内网攻防&爆破事件&代理隧道&流量提进程&系统日志&处置封锁
摘要:爆破事件与内网隧道 日志路径 /var/log/auth.log /var/log/secure 针对linux 的ssh登录进行判断是否登录成功 cat /var/log/secure | grep "Accept" 查看成功登录 cat /var/log/secure | grep "Faile 阅读全文
posted @ 2026-02-24 17:07 JuneCy 阅读(5) 评论(0) 推荐(0)
钓鱼溯源
摘要:(1)导出邮件的eml文件 根据攻击者:发信人,内容,附件进行下手 1.定性钓鱼事件 根据威胁情报,人工分析来源,域名,IP 2.定性攻击目的 攻击者的目的:发信人 内容 附件取得突破 3.溯源攻击画像 可以使用微步在线分析进行分析 然后可以使用安天工具进行分析,类似火绒剑 案例分析:先导出eml文 阅读全文
posted @ 2026-02-23 10:08 JuneCy 阅读(4) 评论(0) 推荐(0)
挖矿应急响应
摘要:windows 打开任务管理器发现中cpu被拉满了,分析进程,查看配置信息,判断矿池 (1)中挖矿后该怎么判断是怎么被入侵的 (2)判断是否有web服务,判断端口,查看日志 (3)找到入口后,进行封堵,这边是通过爆破密码进入的 使用防火墙封堵,或者修改密码 (4)封堵后需要进行清理 发现清理的时候, 阅读全文
posted @ 2026-02-23 10:06 JuneCy 阅读(1) 评论(0) 推荐(0)
tomcat服务器的应急响应
摘要:tomcat的应急响应 阅读全文
posted @ 2025-10-17 14:55 JuneCy 阅读(53) 评论(0) 推荐(0)
玄机 第九章-blueteam 的小心思
摘要:玄机 第九章 阅读全文
posted @ 2025-08-30 17:20 JuneCy 阅读(107) 评论(0) 推荐(0)
linux 入侵排查检测
摘要:玄机第一章 linux 阅读全文
posted @ 2025-08-30 11:06 JuneCy 阅读(9) 评论(0) 推荐(0)
apache日志分析
摘要:apache日志分析 阅读全文
posted @ 2025-08-29 17:55 JuneCy 阅读(12) 评论(0) 推荐(0)
webshell查杀
摘要:webshell查杀 阅读全文
posted @ 2025-08-29 17:50 JuneCy 阅读(37) 评论(0) 推荐(0)