随笔分类 - 应急响应
摘要:状况发现 CPU占用率高且top并没有发现占用率很高的进程 所以攻击者肯定是做了隐藏进程的操作 隐藏进程侦察 cat /proc/mounts ##查看挂载 利用unhide进行暴力扫描排查 unhide checkbrute 找到隐藏进程 /usr/share/xmrigMiner --> 进程i
阅读全文
摘要:/sys/class/dmi/id是一个linux系统的目录,用于存储有关计算机硬件的DMI(desktop management interface)信息。DMI是一种由系统固件提供的标准接口,收集和报告有关计算机硬件配置的信息 /sys/class/dmi/id 目录下,可以找到以下文件和子目录
阅读全文
摘要:形成原因 勒索软件通过RDP进入内网进行投放 处置 勒索信息确认 通过勒索页面信息(留下的邮箱或关键字)等信息通过互联网搜索可定位到勒索家族。如被加密后缀为devos,eking,dewar,ban,adage等都是phobos家族 可以重点排查端口映射情况和代理工具搭建情况,如果中勒索的机器有将3
阅读全文
摘要:特征现象 挖矿服务器的CPU或GPU占用率居高不下 挖矿程序图标举例:(门罗币)。 外连矿池地址,矿池地址一般含有pool、xmr、eth、bth等字符 钱包地址类似:43zqYTWj1JG1H1idZFQWwJZLTos3hbJ5iR3tJpEtwEi43UBbzPeaQxCRysdjYTtdc8
阅读全文
摘要:apache常见漏洞 1.未知拓展名解析漏洞 2.AddHandler导致的换行解析漏洞 3.Apache HTTPD 换行解析漏洞 漏洞原理:在于$符号,正则表达式中$不仅匹配字符串结尾位置,也匹配\n,\r 解析php 1.php\x0A会将php后缀进行解析绕过一些服务器的安全策略 影响范围:
阅读全文
摘要:springboot未授权访问 1、http头部中不包括Cookie、Authorization等会话信息 2、访问SpringBoot服务的URL或响应内容类型包括spring-boot特征 菜刀特征 1.请求体中存在eval,base64等特征字符 2.请求体中传递的payload为base64
阅读全文
摘要:linux执行文件要读取的文件 1.加载固件和硬件设备 通过引导设备找到引导程序 2.引导程序,通过加载操作系统内核和初始化RAM磁盘作为根文件系统 3.内核启动参数 通过引导程序传递参数影响内核行为 4./etc/fstab 系统查看文件的挂载点和挂载选项 启动时进行 5.自启动文件 /etc/r
阅读全文
摘要:windows 任务计划列表 1. 计算机管理窗口,选择 系统工具 中 任务计划程序 中的 任务计划程序库选项 可以查看任务计划的名称,状态,触发器等详细信息 2.powershell中输入get-scheduledtask 可以查看当前系统所有任务计划信息 任务路径,名称,状态等详细信息 3.命令
阅读全文
浙公网安备 33010602011771号