云眼
- 网页后门- 查看具体代码哪一段触发规则库进行分析(下载下来给客户确定,微步在线之类的)
- 威胁软件- 给客户看,建议删除(不明来历)
- 反弹shell- 先分析看看反弹参数有没有扫描危险参数(powershell之类的)给客户看,
- 异常登录-
- 异常进程- 子进程有更大的权限
- 异常账号- 跟客户确认是不是正常账号
- 暴力破解和入侵扫描- 看看是外网还是内网,外网阻断,内网--危险,封堵攻击ip,上报
云御
- 若遇到误判- 增加白名单别关闭拦截
- 网站后台防护- 根据客户的域名和物理路径配置ip验证方式,或者密码验证(安全狗二次密码)
- 对攻击行为进行拉黑处理- 如果网页有硬件防火墙,上报,没有就通过云眼云御进行黑白名单拉黑。
啸天流量监测
主要看护网工作台
- 恶意文件拖到沙盒运行
- 主要按攻击类别,cve,webshell,暴力破解(有可能用户改密码造成误报),web远程代码执行,系统提权,通过过滤条件对目标ip进行过滤排查。
- 威胁判断分析,可以看看hw之前有没有相似的事件发生来判断
- 如果防火墙已经阻断但是还有攻击流量,观察流量在防火墙前还是后面
- 对探测数据进行封堵(扫描,破解,注入),如果内网进一步分析排查
- 若被攻陷,备份样本做好截图。清除威胁,通过日志流量查找攻击信息
- 溯源三要素,事件,地点,事件。
posted @
2022-07-12 18:24
猫鳍
阅读(
42)
评论()
收藏
举报
浙公网安备 33010602011771号