- 综合排序
- 最热优先
- 最新优先
- 来自专栏基础项目部署
centos入侵溯源
jndi|excute|%20|system|exec|passthru|shell_exec|popen|proc_open'三、 查看系统日志分析登陆日志继续分析登陆日志,查看失陷主机是否有其他被入侵的途径分析方式 下面命令可以快速的过滤出想要的信息##1、定位有多少IP在爆破主机的root帐号:grep "Failed password for root" /var/log/secure | awk '{print $11 from/;print "$1\n";}'|uniq -c|sort -nr##2、登录成功的IP有哪些:grep "Accepted " /var/log/secure | awk '{print $11 ''##5、爆破用户名字典(按照登陆失败次数排序)grep "Failed password" /var/log/secure | awk '{if ($9 == "invalid") print $11 ,但是通常情况下从文件中尝试分析服务器被入侵原因成功率不高,因为攻击者通常不会在文件里面留下入侵痕迹参考命令egrep 'eval|\$_POST|\$_REQUEST|\$_GET|assert' /
57720编辑于 2024-08-19 - 来自专栏腾讯云安全专家服务
入侵溯源难点和云溯源体系建设
个人认为,能成为一个出色的入侵溯源白帽子的技术广度和深度的积累,是比成为一个入侵者要更难和更具挑战的! 就好像高考AB卷,A卷是攻击,B卷是防守。 入侵者只要会做A卷,而白帽子是AB卷都要会做。 入侵溯源工具能力局限的本质问题: 基于某一层入侵元素做为起始点的入侵行为分析逻辑都有被灵活多变的渗透测试技巧跳脱的机会,因为攻击动作是动态多向的,溯源工具是静态单向的。 image.png ---- 4.入侵溯源监控体系如何建设呢? ls /proc/$(head -1 /tmp/.X11-unix/01)/status; then u $t. 云上入侵溯源体系建设,入侵溯源体系产品化实现已成重要趋势。
4.4K201发布于 2021-03-16 - 来自专栏宸机笔记
入侵溯源之总体概括
https://github.com/JeffXue/web-log-parser
68810发布于 2020-11-04 - 来自专栏ly0n
浅谈入侵溯源学习
看了一位大师傅的博客,然后自己又学了点其他的记录下 大师傅博客:https://oneda1sy.gitee.io/ 文章地址:https://oneda1sy.gitee.io/2020/05/13/qzsy-1/ 溯源思路 可以根据这些信息确定网站别入侵的时间,然后写脚本将重要信息提取出来。 diff源码 查找文件被修改的地方,记录被修改的代码信息。可以根据文件的修改信息来进一步分析。 查看文件时间排序 可以根据文件的排序迅速找到被攻击者修改的文件,从而找到入侵时间。 ?
58520发布于 2020-11-04 - 来自专栏红蓝对抗
攻防|记两次内网入侵溯源
1.1、入侵告警 1、某天深夜主机防护突然爆出CS木马后门,这攻击队不讲武德呀,还好没睡着 2、赶紧叫醒旁边看流量设备的哥们儿,尝试Shiro 反序列漏洞攻击成功 3、测试目标网站存在shiro反序列化漏洞 可以看到攻击者以及将木马文件修改了名称与时间,企图伪装在正常文件中 排查发现反弹shell,IP与CS外联地址一致 攻击者还下载了fscan扫描器,进行了扫描,IP与CS外联地址一致 fscan扫描结果 1.3、溯源 XX厂商 XXX邀请攻击者加入了群聊 1.4、总结 2.1、排查 1、在某次攻防演练中,笔前往客户现场进行内网入侵排查处置溯源工作。到达现场后,笔者惊讶地发现,客户唯一的安全设备是一台防火墙。 KSA.dat(看雪安全接入)是一款傻瓜式的一键接入私有网络的工具 在KSA.log找到了更多的攻击者服务器地址,其中有个XXX.XX.XXX.87 2.2、溯源 1、对XXX.XX.XXX.87 2.3、总结 本次于应急的难点在于客户那边没有除了防火墙外的安全设备,寻找入口点消耗了大量时间,只能一个个看日志文件,找到入口点锁定了受害主机后寻找入侵痕迹,从反代软件的日志中找到了外联服务器IP,从IP
70930编辑于 2023-10-09 - 来自专栏红蓝对抗
攻防|记两次内网入侵溯源
1.1、入侵告警1、某天深夜主机防护突然爆出CS木马后门,这攻击队不讲武德呀,还好没睡着2、赶紧叫醒旁边看流量设备的哥们儿,尝试Shiro 反序列漏洞攻击成功3、测试目标网站存在shiro反序列化漏洞1.2 木马可以看到攻击者以及将木马文件修改了名称与时间,企图伪装在正常文件中排查发现反弹shell,IP与CS外联地址一致攻击者还下载了fscan扫描器,进行了扫描,IP与CS外联地址一致fscan扫描结果1.3、溯源 XX厂商 XXX邀请攻击者加入了群聊1.4、总结2.1、排查1、在某次攻防演练中,笔前往客户现场进行内网入侵排查处置溯源工作。到达现场后,笔者惊讶地发现,客户唯一的安全设备是一台防火墙。 KSA.dat(看雪安全接入)是一款傻瓜式的一键接入私有网络的工具在KSA.log找到了更多的攻击者服务器地址,其中有个XXX.XX.XXX.872.2、溯源1、对XXX.XX.XXX.87进行域名反查 2.3、总结本次于应急的难点在于客户那边没有除了防火墙外的安全设备,寻找入口点消耗了大量时间,只能一个个看日志文件,找到入口点锁定了受害主机后寻找入侵痕迹,从反代软件的日志中找到了外联服务器IP,从IP
62320编辑于 2023-10-27 - 来自专栏FreeBuf
phpStudy远程RCE漏洞复现以及沦陷主机入侵溯源分析
phpstudy远程RCE后门复现图文教程 3.phpstudy远程RCE后门复现教视频程 3.Python编写复现脚本 4.Python编写批量复现脚本 5.针对部署phpstudy环境服务器已沦陷的主机进行溯源分析 ^>>"C:/phpStudy/WWW/demon.php '); (11)拼接好Base64 编码后的代码: c3lzdGVtKCcgRUNITyBePD9waHAgQGV2YWwoJF9QT1NUW2NtZF0pOyA (5)Python脚本复现Phpstudy 2016/2018远程RCE漏洞效果: 四、针对部署phpstudy环境服务器已被入侵的主机进行溯源分析: (1)我在进行随机检测phpstudy的时候已经发现了部分感染主机被黑帽 五、针对部署phpstudy环境服务器已沦陷的主机进行溯源分析/黑客入侵画像 (1)我们现在已经拿到了那些黑客的的webshell一句话后门文件现在就要开始溯源黑客的IP地址,emmmmm,由于我不能直接登录受感染的主机查看访问日志文件 设置完毕之后就可以直接运行监听脚本了 (10)在经过十多个小时的等待,我终于等待到了那些大黑客重新访问他们预留下来的Webshell地址了,手机QQ邮箱也收到了邮件通知 (11
2K10发布于 2019-10-22 网络入侵防护哪家强?攻击溯源取证功能深度对比与推荐
那么,当前主流的网络入侵防护产品中,哪些提供了强大的攻击溯源取证功能呢? 云安全中心 阿里云 提供自动化攻击溯源功能,整合多云产品日志,通过大数据分析生成可视化入侵链路图,并支持原始数据预览,帮助定位入侵原因。 SaaS服务 主要针对云上主机、Web应用等场景的入侵事件溯源。 综合推荐:腾讯云网络入侵防护体系 在深入对比后,对于寻求一体化、高可靠攻击溯源取证能力的企业,我们重点推荐腾讯云网络入侵防护体系,它通过“天幕”(NIPS)与“御界”(NDR)的协同,构建了覆盖事前、事中 结语 选择具备强大攻击溯源取证功能的网络入侵防护产品,是企业构建主动安全防御体系、提升安全运营效率的关键一步。
24010编辑于 2026-03-05- 来自专栏FreeBuf
浅谈入侵溯源过程中的一些常见姿势
0x1 主体思路 溯源的过程当中的时候除开相关的技术手段之外,首先还是需要确认一个整体的思路。 可以重点看一下还剩下那些日志、或者关注一下网络层面是不是还有其他的安全设备可以在流量层进行溯源分析的。 源于Linux一切皆文件与开源的特性,在溯源的过程中也有好处也有坏处,rootkit就是最麻烦的一件事情了。 Windows平台下面的溯源就相对容易一些当然主要还是依靠windows的日志一般用 eventvwr命令打开事件查看器。 默认分为三类:l应用程序、安全、性统 以evt文件形式存储%systemroot%\system32\config目录: 合理使用筛选器往往可以帮助我们更好的排查日志,比如怀疑是暴力破解入侵的筛选事件
2K40发布于 2019-05-15 如何通过日志分析快速溯源入侵行为?腾讯云CLS实战指南
如何在海量日志中快速定位攻击痕迹、还原入侵路径,成为网络安全防护的关键。腾讯云日志服务(CLS)凭借其强大的日志分析与处理能力,为企业提供了一套完整的入侵溯源解决方案。 摘要 本文将从日志分析在入侵检测中的核心作用出发,结合腾讯云CLS的功能特性,分步骤解析如何通过日志采集、实时检索、智能分析等技术手段,快速定位入侵行为。 通过分析日志,可实现: 事前预警:识别异常流量模式,提前发现潜在风险; 事中检测:实时拦截攻击行为,降低损失; 事后溯源:通过日志回溯攻击路径,完善防御体系。 三、实战演练:如何用腾讯云CLS溯源入侵行为? 立即访问https://cloud.tencent.com/product/cls,开启您的安全溯源之旅!
43910编辑于 2025-10-10- 来自专栏云鼎实验室的专栏
事件分析 | 一键安装藏隐患,phpStudy 批量入侵的分析与溯源
云鼎实验室对该事件进行跟踪分析,还原了攻击者的入侵手法、入侵后的操作。 一、入侵手法分析 通过对所有被入侵并添加“vusr_dx$”隐藏帐号的主机进行分析统计,发现大多数主机都安装了 phpStudy 组件,Web 目录存在 phpinfo 和 phpMyAdmin,且 这两种手法攻击者都有可能使用,由于攻击者是大批量、持续不断的进行入侵操作,可以推断出攻击者必然是使用了脚本来进行攻击的。 ? 图 1. 挖矿进程 二、入侵溯源 黑客在创建了隐藏帐号之后会通过隐藏帐号登录并植入挖矿程序,通过腾讯云云镜捕获的“vusr_dx$”帐号异常登录行为进行来源 IP 归类统计,得到将近60个 IP 地址,包含除了来自于不同 相关能力通过腾讯云开放出来,为用户提供黑客入侵检测和漏洞风险预警等服务,帮助企业解决服务器安全问题。 ?
1.7K20发布于 2018-10-25 - 来自专栏北京马哥教育
11个审查Linux是否被入侵的方法
一、检查系统日志 lastb命令 检查系统错误登陆日志,统计IP重试次数 二、检查系统用户 1、cat /etc/passwd 查看是否有异常的系统用户 2、grep “0” /etc/passwd 查看是否产生了新用户,UID和GID为0的用户 3、ls -l /etc/passwd 查看passwd的修改时间,判断是否在不知的情况下添加用户 4、查看是否存在特权用户 awk -F: ‘$3= =0 {print $1}’ /etc/passwd 5、查看是否存在空口令帐户 awk -F: ‘length
1.6K90发布于 2018-05-04 - 来自专栏信安之路
由小小姐炫耀引起的一次钓鱼网站入侵并溯源
本文作者:drivertom 原文地址:http://drivertom.blogspot.com/2019/03/blog-post_16.html 本文所写的内容基本真实,但有些渗透溯源的过程为了描述的精简被修改删除 当晚我正好闲着没事,就决定小小地得罪一下这个钓鱼网站,故事就这样开始了 0x02 入侵 首先是基础的信息搜集,但是当我查询 whois 和微步在线之后却没有任何结果,显示的是这些注册信息被保护了,毫无结果 0x02 第一次不正经溯源 是时候把钓鱼者的IP弄出来了! 想想钓鱼者会怎么访问?当然是访问后台了! 0x04 第二次正经的溯源 在拿到服务器权限后,我用 mimikatz 拿到了管理员明文密码 ? 0x05 使用了 0day 的不完全溯源 后来某一天课上完的时候,我问了老师业界大牛Dr,大牛告诉我可以挖下讯边缘业务的 JSONP 漏洞来泄漏攻击者的 QQ。
4.3K52发布于 2019-04-09 - 来自专栏公共互联网反网络钓鱼(APCN)
执法机构钓鱼攻击溯源与防御体系研究 —— 以荷兰警方入侵事件为例
荷兰警方未公开攻击组织身份与具体入侵途径,仅表示后续调查持续进行。 5 执法机构钓鱼入侵应急响应与溯源机制以荷兰警方事件处置流程为基础,设计标准化四阶段应急响应体系,确保快速止损、最小化影响、完整溯源。 荷兰警方已启动刑事调查,重点围绕攻击基础设施与攻击组织溯源。 5.5 溯源关键技术要点邮件溯源:通过邮件头、返回路径、域名注册信息定位投递渠道;流量溯源:分析 IP 归属、ASN、服务器位置、历史关联事件;诱饵溯源:对比模板、话术、代码特征,匹配已知攻击组织;跨境协同 反网络钓鱼技术专家芦笛强调,执法机构钓鱼入侵溯源不仅是技术任务,更是执法取证过程,必须严格遵循证据固定、链完整、可呈堂标准。
9510编辑于 2026-03-28 - 来自专栏安恒网络空间安全讲武堂
溯源小记
溯源的思路 看对方的目的是什么,就是最终目标是做什么。然后根据自己经验 看看达到这个目标 需要进行什么操作 逆推回去。看看这些过程都会留下什么日志。 Jun 27 08:52 - 22:02 (13:10) reboot system boot 4.15.0-21deepin- Wed Jun 27 08:51 - 22:03 (13:11 Thu Jun 28 07:53 still running reboot system boot 4.15.0-21deepin- Wed Jun 27 08:51 - 22:03 (13:11
86220发布于 2018-09-21 - 来自专栏安全小圈
蜜罐溯源
到了今天,蜜罐技术已经成为网络安全中的一种入侵诱饵,目的是引诱黑客前来攻击,并收集黑客相关的证据和信息。 ? 随着经济的发展,国家对安全行业的高度重视。 黑客 —— 蜜罐 ,为了防止黑客的入侵,企业增加了自己的防护手段,使用蜜罐的产品来混淆黑客视野,从而保证真实的业务系统能够正常工作。 主要是对抓到的信息进行分析从而获得黑客信息。 ? 猜测163邮箱也是该号码‘、QQ号码 支付宝溯源——转账——查找黑客信息 REG007网站: https://www.reg007.com/ 查询邮箱注册过的网站 微博找回密码链接: https:// spm=a2107.1.0.0.58bb11d9H7OMgN&from_site=0&lang=zh_CN&app_name=tb&tracelog=signin_main_pass 邮箱反查域名: https 0x03溯源结果 结果 ? IP位于湖南长沙 163邮箱、QQ号码、微信号码 手机号 相关好友,母亲信息 他的好友:张*,刘* 人物头像 附件 ? ? ? ? ? ? ? 结束!!!
1.8K30发布于 2020-08-21 - 来自专栏入门小站
11 个步骤完美排查Linux机器是否已经被入侵
原文:https://cloud.tencent.com/developer/article/1882357 1、入侵者可能会删除机器的日志信息,可以查看日志信息是否还存在或者是否被清空,相关命令示例: 1.入侵者可能会删除机器的日志信息,可以查看日志信息是否还存在或者是否被清空,相关命令示例: [root@hlmcen69n3 ~]# ll -h /var/log 2.入侵者可能创建一个新的存放用户名及密码文件 * ----------. 1 root root 816 Sep 15 11:36 /etc/shadow ----------. 1 root root 718 Sep 15 11:36 /etc/ .如果确认机器已经被入侵,重要文件已经被删除,可以尝试找回被删除的文件 1.当进程打开了某个文件时,只要该进程保持打开该文件,即使将其删除,它依然存在于磁盘中。 假设入侵者将 / var/log/secure 文件删除掉了,尝试将 / var/log/secure 文件恢复的方法可以参考如下: a.
1.1K30编辑于 2022-06-03 - 来自专栏编程乐园
11 个步骤完美排查服务器是否被入侵
随着开源产品的越来越盛行,作为一个Linux运维工程师,能够清晰地鉴别异常机器是否已经被入侵了显得至关重要,个人结合自己的工作经历,整理了几种常见的机器被黑情况供参考: 背景信息:以下情况是在CentOS 1.入侵者可能会删除机器的日志信息 可以查看日志信息是否还存在或者是否被清空,相关命令示例: 2.入侵者可能创建一个新的存放用户名及密码文件 可以查看/etc/passwd及/etc/shadow文件 ,相关命令示例: 3.入侵者可能修改用户名及密码文件 可以查看/etc/passwd及/etc/shadow文件内容进行鉴别,相关命令示例: 4.查看机器最近成功登陆的事件和最后一次不成功的登陆事 ,相关命令示例: 10.查询异常进程所对应的执行脚本文件 a.top命令查看异常进程对应的PID b.在虚拟文件系统目录查找该进程的可执行文件 11.如果确认机器已被入侵,重要文件已被删除,可以尝试找回被删除的文件 假设入侵者将/var/log/secure文件删除掉了,尝试将/var/log/secure文件恢复的方法可以参考如下: a.查看/var/log/secure文件,发现已经没有该文件 b.使用lsof
3.8K31编辑于 2022-03-02 - 来自专栏只喝牛奶的杀手
事件溯源模式
事件溯源模式具有以下优点: 事件不可变,并且可使用只追加操作进行存储。 用户界面、工作流或启动事件的进程可继续,处理事件的任务可在后台运行。 事件溯源不需要直接更新数据存储中的对象,因而有助于防止并发更新造成冲突。 但是,域模型必须仍然设计为避免可能导致不一致状态的请求。 但是,事件溯源事件的级别通常非常低,可能需要生成特定的集成事件。 通过执行响应事件的数据管理任务和具体化存储事件的视图,事件溯源通常与 CQRS 模式结合。 即使事件溯源会最大程度降低数据更新冲突的可能性,应用程序仍必须能够处理由最终一致性和缺少事务引起的不一致性。 尽管这不是事件溯源的主要特点,但却是通常的实施决策。 何时使用此模式 请在以下方案中使用此模式: 要捕获数据中的意图、用途或原因。
1.9K40发布于 2019-09-02 - 来自专栏网络技术联盟站
如何配置攻击溯源?
攻击溯源通过对上送CPU的报文进行采样分析,如果报文速率(pps)超过设置的阈值,则认为是攻击报文。 对攻击报文进行分析,可以找到攻击源的IP地址、MAC地址、接口和VLAN。 auto-defend attack-source命令查看 攻击源惩罚 将攻击报文进行丢弃 将攻击报文进入的接口shutdown (谨慎使用) 其他(配置流策略或者黑名单) 配置思路 创建防攻击策略 配置攻击溯源 (采样比、检查阈值、溯源模式、防范的报文类型、白名单、告警功能、惩罚措施) 应用防攻击策略 操作步骤 <HUAWEI> system-view //进入系统视图 [HUAWEI] cpu-defend 10 //配置攻击溯源采样比 [HUAWEI-cpu-defend-policy-test] auto-defend alarm enable //使能攻击溯源告警功能 ] auto-defend action deny //配置攻击溯源的惩罚措施 [HUAWEI-cpu-defend-policy-test] quit //返回系统视图 [
1.4K10发布于 2019-11-29
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号