07 2017 档案
摘要:在应急响应中,我们经常会使用find命令来查找系统中被黑客修改过的文件,或者被上传的木马后门文件,灵活使用find命令可以达到事半功倍的效果,现总结下使用技巧 举例,查找最近被更改的jsp文件 find /webapp -name "*.jsp" -mtime 0 这里面容易混淆的是mtime后门的
阅读全文
摘要:当线上服务器发现异常以后,无非就是常见的几种现象: Web入侵:挂马、篡改、Webshell系统入侵:系统异常、RDP爆破、SSH爆破、主机漏洞病毒木马:远控、后门、勒索软件信息泄漏:刷裤、数据库登录(弱口令)网络流量:频繁发包、批量请求、DDOS攻击 被黑之后可按照如下方法逐一操作 1.跟开发运维
阅读全文
摘要:最近在查看系统文件的时候遇到了一些软链的文件,所以趁此机会整理下硬链接和软连接的区别,在说软硬链接前需要提一下linux里面的文件系统 我们知道文件都有文件名与数据,这在 Linux 上被分成两个部分:用户数据 (user data) 与元数据 (metadata)。用户数据,即文件数据块 (dat
阅读全文
摘要:在应急响应时有时会遇到系统被植入后门,添加启动项等操作,如果不清楚启动项的话,可能会被黑客植入一些开机启动项,无法彻底清除后门程序,所以在这梳理下启动项的东西 1.操作系统接管硬件以后,首先读入 /boot 目录下的内核文件2.内核文件加载以后,就开始运行第一个程序 /sbin/init,它的作用是
阅读全文
摘要:前段时间,哥们的服务器被人反弹了shell,由于反弹的地址不可达,系统总是会发送一条mail邮件到root账户,导致入侵行为被发现,由于反弹的动作是通过crontab来定时执行的,所以来梳理下crontab相关的知识点 1.crontab填写格式 基本格式 : * * * * * command 分
阅读全文
摘要:测试机 172.16.53.191 服务端(server) 测试机 172.16.53.253 客户端(agent) 【server端配置】 yum install mysql mysql-server mysql-devel httpd php php-mysql gcc gcc-c++ vim
阅读全文
浙公网安备 33010602011771号