- 综合排序
- 最热优先
- 最新优先
- 来自专栏基础项目部署
centos入侵溯源
jndi|excute|%20|system|exec|passthru|shell_exec|popen|proc_open'三、 查看系统日志分析登陆日志继续分析登陆日志,查看失陷主机是否有其他被入侵的途径分析方式 \.#(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?) \.(25[0-5]|2[0-4] [0-9]|[01]?[0-9][0-9]?)" print $9}' | sort | uniq -c | sort -nr四、扫描异常文件我们对服务器进行扫描,检测是否存在异常的文件(如webshell文件或者其他挖矿脚本文件),从文件中尝试分析服务器被入侵原因主要借助工具 ,但是通常情况下从文件中尝试分析服务器被入侵原因成功率不高,因为攻击者通常不会在文件里面留下入侵痕迹参考命令egrep 'eval|\$_POST|\$_REQUEST|\$_GET|assert' /
57720编辑于 2024-08-19 - 来自专栏腾讯云安全专家服务
入侵溯源难点和云溯源体系建设
个人认为,能成为一个出色的入侵溯源白帽子的技术广度和深度的积累,是比成为一个入侵者要更难和更具挑战的! 就好像高考AB卷,A卷是攻击,B卷是防守。 入侵者只要会做A卷,而白帽子是AB卷都要会做。 入侵溯源工具能力局限的本质问题: 基于某一层入侵元素做为起始点的入侵行为分析逻辑都有被灵活多变的渗透测试技巧跳脱的机会,因为攻击动作是动态多向的,溯源工具是静态单向的。 image.png ---- 4.入侵溯源监控体系如何建设呢? 以OSI七层模型为例,还原我们溯源的时候,如何进行路径复现: image.png 安全溯源中常涉及的取证分析元素: 1.时间线分析:(1)最早探测时间(2)入侵时间(3)权限维持时间(4)登录时间 2. 云上入侵溯源体系建设,入侵溯源体系产品化实现已成重要趋势。
4.4K201发布于 2021-03-16 - 来自专栏宸机笔记
入侵溯源之总体概括
https://github.com/JeffXue/web-log-parser
68810发布于 2020-11-04 - 来自专栏ly0n
浅谈入侵溯源学习
看了一位大师傅的博客,然后自己又学了点其他的记录下 大师傅博客:https://oneda1sy.gitee.io/ 文章地址:https://oneda1sy.gitee.io/2020/05/13/qzsy-1/ 溯源思路 常下手的几个点 1.网页源码分析 2.日志分析 3.系统存储的信息分析 4.分析进程端口 网页源码分析 网页源码分析又包括几个方面 1.查杀后门 2.diff源码 3.查看文件时间排序 4.使用find 可以根据这些信息确定网站别入侵的时间,然后写脚本将重要信息提取出来。 diff源码 查找文件被修改的地方,记录被修改的代码信息。可以根据文件的修改信息来进一步分析。 查看文件时间排序 可以根据文件的排序迅速找到被攻击者修改的文件,从而找到入侵时间。 ? 分析服务器的开机自启程序 1.ls -alt /etc/init.d 2.chkconfig 3.systemctl list-unit-files ?
58520发布于 2020-11-04 - 来自专栏红蓝对抗
攻防|记两次内网入侵溯源
1.1、入侵告警 1、某天深夜主机防护突然爆出CS木马后门,这攻击队不讲武德呀,还好没睡着 2、赶紧叫醒旁边看流量设备的哥们儿,尝试Shiro 反序列漏洞攻击成功 3、测试目标网站存在shiro反序列化漏洞 ,在脉脉上搜索发现为某厂渗透测试工程师,通过另外一个昵称询问熟人发现也是某厂员工,我们溯源的目标很大概率也是该公司的人。 XX厂商 XXX邀请攻击者加入了群聊 1.4、总结 2.1、排查 1、在某次攻防演练中,笔前往客户现场进行内网入侵排查处置溯源工作。到达现场后,笔者惊讶地发现,客户唯一的安全设备是一台防火墙。 2、经过长时间细致的排查,发现从凌晨0时39分起有大量的异常扫描行为 在凌晨0时40分发现struts2命令执行漏洞被利用成功。 2.3、总结 本次于应急的难点在于客户那边没有除了防火墙外的安全设备,寻找入口点消耗了大量时间,只能一个个看日志文件,找到入口点锁定了受害主机后寻找入侵痕迹,从反代软件的日志中找到了外联服务器IP,从IP
70930编辑于 2023-10-09 - 来自专栏红蓝对抗
攻防|记两次内网入侵溯源
1.1、入侵告警1、某天深夜主机防护突然爆出CS木马后门,这攻击队不讲武德呀,还好没睡着2、赶紧叫醒旁边看流量设备的哥们儿,尝试Shiro 反序列漏洞攻击成功3、测试目标网站存在shiro反序列化漏洞1.2 ,通过另外一个昵称询问熟人发现也是某厂员工,我们溯源的目标很大概率也是该公司的人。 XX厂商 XXX邀请攻击者加入了群聊1.4、总结2.1、排查1、在某次攻防演练中,笔前往客户现场进行内网入侵排查处置溯源工作。到达现场后,笔者惊讶地发现,客户唯一的安全设备是一台防火墙。 2、经过长时间细致的排查,发现从凌晨0时39分起有大量的异常扫描行为在凌晨0时40分发现struts2命令执行漏洞被利用成功。 2.3、总结本次于应急的难点在于客户那边没有除了防火墙外的安全设备,寻找入口点消耗了大量时间,只能一个个看日志文件,找到入口点锁定了受害主机后寻找入侵痕迹,从反代软件的日志中找到了外联服务器IP,从IP
62320编辑于 2023-10-27 - 来自专栏FreeBuf
phpStudy远程RCE漏洞复现以及沦陷主机入侵溯源分析
5.针对部署phpstudy环境服务器已沦陷的主机进行溯源分析/黑客入侵画像 6.修复建议 7.参考 准备工具: VMware Workstation Pro Windows7的/ 2008R2 (5)Python脚本复现Phpstudy 2016/2018远程RCE漏洞效果: 四、针对部署phpstudy环境服务器已被入侵的主机进行溯源分析: (1)我在进行随机检测phpstudy的时候已经发现了部分感染主机被黑帽 五、针对部署phpstudy环境服务器已沦陷的主机进行溯源分析/黑客入侵画像 (1)我们现在已经拿到了那些黑客的的webshell一句话后门文件现在就要开始溯源黑客的IP地址,emmmmm,由于我不能直接登录受感染的主机查看访问日志文件 )模拟黑客访问webshell前 (6)模拟黑客访问websell后 (7)然后本地或者VPS上定时访问请求log.html把最新的访问信息通过Email邮件的方式发送给执法机关/溯源工程师 修改服务器密码,检查系统日志文件,下载安装火绒杀毒软件进行全盘查杀病毒后门,以防生产环境被入侵者留下后门 2.开发人员应该尽量在生产环境中杜绝使用一键部署类型的软件和脚本防止软件留有后门,导致服务器病毒木马入侵
2K10发布于 2019-10-22 网络入侵防护哪家强?攻击溯源取证功能深度对比与推荐
那么,当前主流的网络入侵防护产品中,哪些提供了强大的攻击溯源取证功能呢? 云安全中心 阿里云 提供自动化攻击溯源功能,整合多云产品日志,通过大数据分析生成可视化入侵链路图,并支持原始数据预览,帮助定位入侵原因。 SaaS服务 主要针对云上主机、Web应用等场景的入侵事件溯源。 综合推荐:腾讯云网络入侵防护体系 在深入对比后,对于寻求一体化、高可靠攻击溯源取证能力的企业,我们重点推荐腾讯云网络入侵防护体系,它通过“天幕”(NIPS)与“御界”(NDR)的协同,构建了覆盖事前、事中 结语 选择具备强大攻击溯源取证功能的网络入侵防护产品,是企业构建主动安全防御体系、提升安全运营效率的关键一步。
24010编辑于 2026-03-05- 来自专栏FreeBuf
浅谈入侵溯源过程中的一些常见姿势
0x1 主体思路 溯源的过程当中的时候除开相关的技术手段之外,首先还是需要确认一个整体的思路。 一个web服务器公网可以访问出现了被挂黑链的事件使用了s2框架,那么初步可以怀疑是s2-045 s2-046之类的命令执行漏洞了;如果一台公网服务器没有安装补丁又没有防火墙防护,administrator 可以重点看一下还剩下那些日志、或者关注一下网络层面是不是还有其他的安全设备可以在流量层进行溯源分析的。 源于Linux一切皆文件与开源的特性,在溯源的过程中也有好处也有坏处,rootkit就是最麻烦的一件事情了。 默认分为三类:l应用程序、安全、性统 以evt文件形式存储%systemroot%\system32\config目录: 合理使用筛选器往往可以帮助我们更好的排查日志,比如怀疑是暴力破解入侵的筛选事件
2K40发布于 2019-05-15 如何通过日志分析快速溯源入侵行为?腾讯云CLS实战指南
如何在海量日志中快速定位攻击痕迹、还原入侵路径,成为网络安全防护的关键。腾讯云日志服务(CLS)凭借其强大的日志分析与处理能力,为企业提供了一套完整的入侵溯源解决方案。 摘要 本文将从日志分析在入侵检测中的核心作用出发,结合腾讯云CLS的功能特性,分步骤解析如何通过日志采集、实时检索、智能分析等技术手段,快速定位入侵行为。 三、实战演练:如何用腾讯云CLS溯源入侵行为? 五、新手快速上手指南 免费体验:注册腾讯云账号,立即领取3个月免费额度; 配置流程: 步骤1:通过控制台创建日志主题,选择“全托管”模式; 步骤2: 立即访问https://cloud.tencent.com/product/cls,开启您的安全溯源之旅!
43910编辑于 2025-10-10- 来自专栏云鼎实验室的专栏
事件分析 | 一键安装藏隐患,phpStudy 批量入侵的分析与溯源
云鼎实验室对该事件进行跟踪分析,还原了攻击者的入侵手法、入侵后的操作。 一、入侵手法分析 通过对所有被入侵并添加“vusr_dx$”隐藏帐号的主机进行分析统计,发现大多数主机都安装了 phpStudy 组件,Web 目录存在 phpinfo 和 phpMyAdmin,且 图2. 攻击者使用的 SQL 语句 payload ? 图3. sheep.php文件内容 可见,攻击者是针对性的对于 phpStudy 进行攻击。 挖矿进程 二、入侵溯源 黑客在创建了隐藏帐号之后会通过隐藏帐号登录并植入挖矿程序,通过腾讯云云镜捕获的“vusr_dx$”帐号异常登录行为进行来源 IP 归类统计,得到将近60个 IP 地址,包含除了来自于不同 在腾讯云控制台设置 CVM 的安全组,尽量不要选用放通全端口,而是针对性的设置需要外网访问的端口,比如 HTTP 的默认端口 80、RDP 的默认端口 3389; 2.
1.7K20发布于 2018-10-25 - 来自专栏tea9的博客
题目2-IIS写权限漏洞分析溯源
墨者学院一道题目-IIS写权限漏洞分析溯源 题目链接 知识点: 1.iis put写权限漏洞 2.iis6文件名解析漏洞 工具: burpsuite AntswordAntSword-Loader : 48336 协议 : http 其他 : [点击访问] 1.直接访问靶场,并使用burpsuite抓包 http://219.153.49.228:48336 显示页面: 原始包: 2. Microsoft-IIS/6.0 MS-Author-Via: DAV Content-Length: 0 Accept-Ranges: none DASL: <DAV:sql> DAV: 1, 2 zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3 Accept-Encoding: gzip, deflate Connection: close Content-Length: 2
2.4K30编辑于 2022-07-16 - 来自专栏信安之路
由小小姐炫耀引起的一次钓鱼网站入侵并溯源
当晚我正好闲着没事,就决定小小地得罪一下这个钓鱼网站,故事就这样开始了 0x02 入侵 首先是基础的信息搜集,但是当我查询 whois 和微步在线之后却没有任何结果,显示的是这些注册信息被保护了,毫无结果 0x02 第一次不正经溯源 是时候把钓鱼者的IP弄出来了! 想想钓鱼者会怎么访问?当然是访问后台了! 0x04 第二次正经的溯源 在拿到服务器权限后,我用 mimikatz 拿到了管理员明文密码 ? 0x05 使用了 0day 的不完全溯源 后来某一天课上完的时候,我问了老师业界大牛Dr,大牛告诉我可以挖下讯边缘业务的 JSONP 漏洞来泄漏攻击者的 QQ。 搞 IPS 的时候可以禁止 PHP 修改敏感文件来进行初步防护 2、扫目录挺有用的 3、不管是哪种取证,系统日志都是很重要的突破口。
4.3K52发布于 2019-04-09 - 来自专栏公共互联网反网络钓鱼(APCN)
执法机构钓鱼攻击溯源与防御体系研究 —— 以荷兰警方入侵事件为例
2 荷兰警方钓鱼攻击事件全景与安全背景2.1 2026 年 3 月钓鱼入侵事件基本情况2026 年 3 月 27 日,荷兰国家警方正式发布公告,确认发生一起由钓鱼攻击引发的安全入侵事件,核心信息如下:攻击载体 5 执法机构钓鱼入侵应急响应与溯源机制以荷兰警方事件处置流程为基础,设计标准化四阶段应急响应体系,确保快速止损、最小化影响、完整溯源。 荷兰警方已启动刑事调查,重点围绕攻击基础设施与攻击组织溯源。 5.5 溯源关键技术要点邮件溯源:通过邮件头、返回路径、域名注册信息定位投递渠道;流量溯源:分析 IP 归属、ASN、服务器位置、历史关联事件;诱饵溯源:对比模板、话术、代码特征,匹配已知攻击组织;跨境协同 反网络钓鱼技术专家芦笛强调,执法机构钓鱼入侵溯源不仅是技术任务,更是执法取证过程,必须严格遵循证据固定、链完整、可呈堂标准。
9510编辑于 2026-03-28 - 来自专栏安恒网络空间安全讲武堂
溯源小记
溯源的思路 看对方的目的是什么,就是最终目标是做什么。然后根据自己经验 看看达到这个目标 需要进行什么操作 逆推回去。看看这些过程都会留下什么日志。 2. diff源码,查找被修改的地方,记录被修改代码的信息。 diff工具推荐-diffmerge 3. 根据时间筛选 sudo cat access.log| grep '27/Jun/2018' 2. 根据特殊文件名筛选 sudo cat access.log| grep '文件名' 3. 1. ls -alt /etc/init.d 2. /etc/init.d/rc.local /etc/rc.local 3. chkconfig 4. 查看登录信息 1. lastlog(查看系统中所有用户最近一次的登录信息) 2. lasstb (查看用户的错误登录信息) 3. last(显示用户最近登录信息) 5.
86220发布于 2018-09-21 - 来自专栏安全小圈
蜜罐溯源
到了今天,蜜罐技术已经成为网络安全中的一种入侵诱饵,目的是引诱黑客前来攻击,并收集黑客相关的证据和信息。 ? 随着经济的发展,国家对安全行业的高度重视。 黑客 —— 蜜罐 ,为了防止黑客的入侵,企业增加了自己的防护手段,使用蜜罐的产品来混淆黑客视野,从而保证真实的业务系统能够正常工作。 主要是对抓到的信息进行分析从而获得黑客信息。 ? 猜测163邮箱也是该号码‘、QQ号码 支付宝溯源——转账——查找黑客信息 REG007网站: https://www.reg007.com/ 查询邮箱注册过的网站 微博找回密码链接: https:// 0x03溯源结果 结果 ? IP位于湖南长沙 163邮箱、QQ号码、微信号码 手机号 相关好友,母亲信息 他的好友:张*,刘* 人物头像 附件 ? ? ? ? ? ? ? 结束!!!
1.8K30发布于 2020-08-21 - 来自专栏只喝牛奶的杀手
事件溯源模式
事件溯源模式具有以下优点: 事件不可变,并且可使用只追加操作进行存储。 用户界面、工作流或启动事件的进程可继续,处理事件的任务可在后台运行。 事件溯源不需要直接更新数据存储中的对象,因而有助于防止并发更新造成冲突。 但是,域模型必须仍然设计为避免可能导致不一致状态的请求。 但是,事件溯源事件的级别通常非常低,可能需要生成特定的集成事件。 通过执行响应事件的数据管理任务和具体化存储事件的视图,事件溯源通常与 CQRS 模式结合。 即使事件溯源会最大程度降低数据更新冲突的可能性,应用程序仍必须能够处理由最终一致性和缺少事务引起的不一致性。 尽管这不是事件溯源的主要特点,但却是通常的实施决策。 何时使用此模式 请在以下方案中使用此模式: 要捕获数据中的意图、用途或原因。
1.9K40发布于 2019-09-02 - 来自专栏网络技术联盟站
如何配置攻击溯源?
攻击溯源通过对上送CPU的报文进行采样分析,如果报文速率(pps)超过设置的阈值,则认为是攻击报文。 对攻击报文进行分析,可以找到攻击源的IP地址、MAC地址、接口和VLAN。 auto-defend attack-source命令查看 攻击源惩罚 将攻击报文进行丢弃 将攻击报文进入的接口shutdown (谨慎使用) 其他(配置流策略或者黑名单) 配置思路 创建防攻击策略 配置攻击溯源 (采样比、检查阈值、溯源模式、防范的报文类型、白名单、告警功能、惩罚措施) 应用防攻击策略 操作步骤 <HUAWEI> system-view //进入系统视图 [HUAWEI] cpu-defend 10 //配置攻击溯源采样比 [HUAWEI-cpu-defend-policy-test] auto-defend alarm enable //使能攻击溯源告警功能 ] auto-defend action deny //配置攻击溯源的惩罚措施 [HUAWEI-cpu-defend-policy-test] quit //返回系统视图 [
1.4K10发布于 2019-11-29 - 来自专栏Cyber Security
【溯源反制】CDN&域前置&云函数-流量分析|溯源
CDN隐藏C2地址 使用CDN内容分发网络的多节点分布式技术,通过“加速、代理、缓存”隐藏在后面的静态文件或服务;最终实现对外暴露的是CDN多节点的公网域名IP,很难甚至无法溯源真实后端服务器的域名或IP );而且还有一些方法可能溯源到真实IP 这种技术对http与https没有强制要求,都可以使用,而域前置技术要求是https 域前置隐藏 底层技术还是CDN,但是我们使用了其他正规可靠的域名进行连接(比如 :www.baidu.com),通过设置HOST=zh.wikisoft.tk修改host头的原理,让CDN将连接指向我们期望的C2服务器;最终实现受控主机通过回连! beacon的心跳包阶段 3、执行C2服务器的命令并将结果回传阶段 …… 云函数使用HTTPS 好像真没有特别好的应对措施…… 批量上线消耗对方云函数调用资源 关于溯源如果可以的话,可以联系腾讯云客服配合调查 优点:本方案使用高信誉域名进行连接,通常安全设备很难检测,也很难封堵; 总结 1、不备案的域名+禁用不必要的域名解析记录(防止被溯源收集到更多信息) 2、使用HTTPS通讯 3、C2服务器混淆基础特征
1.9K10编辑于 2024-07-18 - 来自专栏绿盟科技研究通讯
攻击溯源-手把手教你利用SPADE搭建终端溯源系统
终端溯源背景介绍 攻击溯源图是描述攻击者攻击行为相关的上下文信息,利用攻击溯源信息来挖掘攻击相关的线索是当前研究的热点。 关于终端溯源的工作学术上已有不少研究工作[1],这里基于SPADE[2]工具以及相关的终端采集工具(windows系统的ProcMon[3],linux系统下的audit[4],camflow[5])搭建一个简单的终端溯源图系统 SPADE可以看成一个分布式的溯源调查工具,以溯源图的形式组织系统日志,溯源攻击过程。该工具支持多种操作系统。SPADE系统支持多种应用,本文只专注其在溯源调查上的应用。 /spade control 结果如图2所示,则表示SPADE安装成功: 图2 SPADE 控制器启动成功 经常会碰到SPADE is not running的问题,具体可以查看相关日志,这里碰到的问题基本是 参考文献 1 https://mp.weixin.qq.com/s/cPrgQaTtrZNhe3Iaz6ZN5g 2 https://github.com/ashish-gehani/SPADE 3 https
3.1K20编辑于 2023-02-22
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号