查询特权用户特权用户(uid为0)awkF:'30{print1}'/etc/passwd查找远程可以登录的账户awk'/\1\5\6/{print1}'/etc/shadow1:MD5(长度22个字符)5:SHA256(长度43个字符)6:SHA512(长度86个字符)检查sudo权限cat/etc/sudoersgrepv"^\^"grep"ALL=(ALL"删除或锁定账号通过上面的步骤可以找
原创
精选
2022-05-07 14:03:04
694阅读
点赞
1评论
目录 1.操作系统信息 2.登录排查 3.启动项排查 4.进程排查 5.计划任务 6.日志 7.文件
转载
2022-09-17 10:11:00
527阅读
背景前一段时间我处理了一次应急响应,我还输出了一篇文章 Linux应急响应笔记。这两天又处理了一次病毒入侵,在前一次的基础上,这次应急做了一些自动化脚本,应急响应效率有了一定程度的提升,故另做一份笔记。PS:本文重在分享应急响应经验,文中保留了恶意网址,但是删除了恶意脚本及程序的下载路径。本文仅用于技术讨论与分析,严禁用于任何非法用途,违者后果自负。应急操作笔记查看我上一次 Linux应急响应笔记
转载
2021-05-14 13:09:09
215阅读
目录排查用户相关的信息排查进程端口相关的信息查找恶意程序并杀掉斩草除根
转载
2022-12-20 19:23:03
66阅读
linux服务器webshell查杀、远控、勒索等应急响应
原创
2023-08-17 21:06:29
174阅读
文件分析
• 最近使用文件– find / -ctime -2
– C:\Documents and Settings\Administrator\Recent
– C:\Documents and Settings\Default User\Recent
– %UserProfile%\Recent
• 系统日志分析
– /var/log/
• 重点分析位置
– /var/log/wtmp 登录
原创
精选
2023-12-07 14:50:25
282阅读
点击上方 "编程技术圈"关注,星标或置顶一起成长后台回复“大礼包”有惊喜礼包!每日英文There's no one that can influence the ...
转载
2021-05-28 14:24:44
235阅读
应急响应指遇到重大或突发事件后所采取的措施和行动。应急响应所处置的突发事件不仅仅包括硬件、产品、网络、配置等方面的故障,也包括各类安全事件,如:黑客攻/击、木/马病/毒、勒/索病/毒、Web攻/击等。
原创
精选
2023-02-22 13:54:00
622阅读
公众号:[小白成长之路] 弱小和无知不是生存的障碍,傲慢才是!内容目录Linux排查0X01 入侵排查1.1 查看linux账号信息1.2 入侵排查1.3 历史命令1.4 检查异常端口1.5 查看异常进程1.6 查看开机启动项1.7 检查定时任务1.8 重点关注目录 1.9 检查异常文件 1.9.1 linux日志位置合集0X02 工具篇Linux排查0
转载
2022-11-03 10:31:15
205阅读
Windows下系统应急: 首先 断网~一、检测阶段1. 备份Web页面2. 查找隐藏账户3. 查找可疑进
转载
2021-11-12 14:08:29
675阅读
Windows下系统应急: 首先 断网~一、检测阶段1. 备份Web页面2. 查找隐藏账户3. 查找可疑进程4. 查杀Webshell5. 分析中间件日志二、抑制阶段1.删除非法修改的信息等2.删除非法添加的账户3.关闭异常进程4.删除后门文件5.根除阶段(1)修改服务器超级管理员账户密码(2)修改网站后台管理员账户密码(3)修复漏洞(4)更改后台地址6.接入网络恢复访问Linux下系统应急:
原创
2021-05-24 10:24:27
292阅读
Linux-应急响应-日志分析 日志默认存放位置:/var/log/ 查看日志配置
原创
2022-06-22 05:32:07
412阅读
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Linux服务器入侵
经过了几个月的努力,我终于完成了Linux应急响应手册,这份手册力争让所有人可以独立完成Linux的应急响应
我推荐攻击方的人员也看一看手册内容,因为其中包含一些隐藏足迹的小手段
我真的巨想把整个近3万字的内容在公众号中展示给大家,但是,智障公众号不支持markdown,转换起来各种问题,所以这里仅仅把目录列出来,但是请相信我,当你看到它的时候,大概会感受到我的骄傲!
简介 事件预警来
转载
2021-06-18 22:40:11
462阅读
1.现象描述
某服务器网络资源异常,感染该木马病毒的服务器会占用网络带宽,甚至影响网络业务正常应用。
2.系统分析
针对日志服务器病毒事件排查情况: 在开机启动项/etc/rc.d/rc.local发现可疑的sh.sh脚本,进一步跟踪sh.sh脚本,这
是一个检测病毒十分钟存活的脚本。
在root目录下发现存活检测脚本3.解决步骤:
1. 结束进程 ps aux | g
原创
2023-09-04 10:17:58
106阅读
Linux系统拥有非常灵活和强大的日志功能,可以保存几乎所有的操作记录,并可以从中检索出我们需要的信息。本文简介一下息记录系统重要信息的日志。
什么是应急响应 应急响应服务 为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施的服务 如:系统被入侵、重要信息被窃取、系统拒绝服务
转载
2021-07-12 23:21:00
571阅读
2评论
应急响应简介应急响应(Incident Response, IR)是指在信息安全领域内,针对计算机系统或网络遭受公鸡、数据泄露或其他安全事件时所采取的一系列措施和流程。应急响应的目标是尽快控制事态,减轻损失,恢复系统正常运作,并从中学习经验教训以提高未来的安全性。应急响应的基本原则快速响应:迅速发现并评估安全事件,立即采取行动以遏制事态的发展。最小化损失:尽可能减少数据丢失、业务中断和其他负面影响
