- 综合排序
- 最热优先
- 最新优先
- 来自专栏基础项目部署
centos入侵溯源
jndi|excute|%20|system|exec|passthru|shell_exec|popen|proc_open'三、 查看系统日志分析登陆日志继续分析登陆日志,查看失陷主机是否有其他被入侵的途径分析方式 \.){3}[0-9]{1,3}\b" | sort | uniq -c | sort -nr|head -202、其中,/var/log/secure 主要查ssh暴力破解登陆的情况,通过awk、grep |uniq -cgrep "Failed password" /var/log/secure | grep -oE "\b([0-9]{1,3}\.){3}[0-9]{1,3}\b" | sort | print $9}' | sort | uniq -c | sort -nr四、扫描异常文件我们对服务器进行扫描,检测是否存在异常的文件(如webshell文件或者其他挖矿脚本文件),从文件中尝试分析服务器被入侵原因主要借助工具 ,但是通常情况下从文件中尝试分析服务器被入侵原因成功率不高,因为攻击者通常不会在文件里面留下入侵痕迹参考命令egrep 'eval|\$_POST|\$_REQUEST|\$_GET|assert' /
57720编辑于 2024-08-19 - 来自专栏腾讯云安全专家服务
入侵溯源难点和云溯源体系建设
image.png ---- 3.高效安全溯源技术解决方案,溯源工具是空白。 入侵溯源工具能力局限的本质问题: 基于某一层入侵元素做为起始点的入侵行为分析逻辑都有被灵活多变的渗透测试技巧跳脱的机会,因为攻击动作是动态多向的,溯源工具是静态单向的。 image.png ---- 4.入侵溯源监控体系如何建设呢? 以OSI七层模型为例,还原我们溯源的时候,如何进行路径复现: image.png 安全溯源中常涉及的取证分析元素: 1.时间线分析:(1)最早探测时间(2)入侵时间(3)权限维持时间(4)登录时间 2. 云上入侵溯源体系建设,入侵溯源体系产品化实现已成重要趋势。
4.4K201发布于 2021-03-16 - 来自专栏宸机笔记
入侵溯源之总体概括
https://github.com/JeffXue/web-log-parser
68810发布于 2020-11-04 - 来自专栏ly0n
浅谈入侵溯源学习
看了一位大师傅的博客,然后自己又学了点其他的记录下 大师傅博客:https://oneda1sy.gitee.io/ 文章地址:https://oneda1sy.gitee.io/2020/05/13/qzsy-1/ 溯源思路 常下手的几个点 1.网页源码分析 2.日志分析 3.系统存储的信息分析 4.分析进程端口 网页源码分析 网页源码分析又包括几个方面 1.查杀后门 2.diff源码 3.查看文件时间排序 4.使用find 可以根据这些信息确定网站别入侵的时间,然后写脚本将重要信息提取出来。 diff源码 查找文件被修改的地方,记录被修改的代码信息。可以根据文件的修改信息来进一步分析。 查看文件时间排序 可以根据文件的排序迅速找到被攻击者修改的文件,从而找到入侵时间。 ? /var/log/secure 记录登入系统存取数据的文件,例pop3/ssh/telnet/ftp 等都会被记录。
58520发布于 2020-11-04 - 来自专栏红蓝对抗
攻防|记两次内网入侵溯源
1.1、入侵告警 1、某天深夜主机防护突然爆出CS木马后门,这攻击队不讲武德呀,还好没睡着 2、赶紧叫醒旁边看流量设备的哥们儿,尝试Shiro 反序列漏洞攻击成功 3、测试目标网站存在shiro反序列化漏洞 XX厂商 XXX邀请攻击者加入了群聊 1.4、总结 2.1、排查 1、在某次攻防演练中,笔前往客户现场进行内网入侵排查处置溯源工作。到达现场后,笔者惊讶地发现,客户唯一的安全设备是一台防火墙。 3、在 Tomcat日志上显示的XXX.XX.1.142为F5转化后的地址,在防火墙上查看真实攻击IP为XXX.XXX.X.91。 KSA.dat(看雪安全接入)是一款傻瓜式的一键接入私有网络的工具 在KSA.log找到了更多的攻击者服务器地址,其中有个XXX.XX.XXX.87 2.2、溯源 1、对XXX.XX.XXX.87 2.3、总结 本次于应急的难点在于客户那边没有除了防火墙外的安全设备,寻找入口点消耗了大量时间,只能一个个看日志文件,找到入口点锁定了受害主机后寻找入侵痕迹,从反代软件的日志中找到了外联服务器IP,从IP
70930编辑于 2023-10-09 - 来自专栏红蓝对抗
攻防|记两次内网入侵溯源
1.1、入侵告警1、某天深夜主机防护突然爆出CS木马后门,这攻击队不讲武德呀,还好没睡着2、赶紧叫醒旁边看流量设备的哥们儿,尝试Shiro 反序列漏洞攻击成功3、测试目标网站存在shiro反序列化漏洞1.2 木马可以看到攻击者以及将木马文件修改了名称与时间,企图伪装在正常文件中排查发现反弹shell,IP与CS外联地址一致攻击者还下载了fscan扫描器,进行了扫描,IP与CS外联地址一致fscan扫描结果1.3、溯源 XX厂商 XXX邀请攻击者加入了群聊1.4、总结2.1、排查1、在某次攻防演练中,笔前往客户现场进行内网入侵排查处置溯源工作。到达现场后,笔者惊讶地发现,客户唯一的安全设备是一台防火墙。 3、在 Tomcat日志上显示的XXX.XX.1.142为F5转化后的地址,在防火墙上查看真实攻击IP为XXX.XXX.X.91。 2.3、总结本次于应急的难点在于客户那边没有除了防火墙外的安全设备,寻找入口点消耗了大量时间,只能一个个看日志文件,找到入口点锁定了受害主机后寻找入侵痕迹,从反代软件的日志中找到了外联服务器IP,从IP
62320编辑于 2023-10-27 - 来自专栏FreeBuf
phpStudy远程RCE漏洞复现以及沦陷主机入侵溯源分析
5.针对部署phpstudy环境服务器已沦陷的主机进行溯源分析/黑客入侵画像 6.修复建议 7.参考 准备工具: VMware Workstation Pro Windows7的/ 2008R2 (5)Python脚本复现Phpstudy 2016/2018远程RCE漏洞效果: 四、针对部署phpstudy环境服务器已被入侵的主机进行溯源分析: (1)我在进行随机检测phpstudy的时候已经发现了部分感染主机被黑帽 五、针对部署phpstudy环境服务器已沦陷的主机进行溯源分析/黑客入侵画像 (1)我们现在已经拿到了那些黑客的的webshell一句话后门文件现在就要开始溯源黑客的IP地址,emmmmm,由于我不能直接登录受感染的主机查看访问日志文件 )模拟黑客访问webshell前 (6)模拟黑客访问websell后 (7)然后本地或者VPS上定时访问请求log.html把最新的访问信息通过Email邮件的方式发送给执法机关/溯源工程师 2.开发人员应该尽量在生产环境中杜绝使用一键部署类型的软件和脚本防止软件留有后门,导致服务器病毒木马入侵 3.关注多一些风险预警平台”微步”/或者关注威胁情报收集的微信公众号”黑鸟“还有就是我的winway
2K10发布于 2019-10-22 网络入侵防护哪家强?攻击溯源取证功能深度对比与推荐
那么,当前主流的网络入侵防护产品中,哪些提供了强大的攻击溯源取证功能呢? 云安全中心 阿里云 提供自动化攻击溯源功能,整合多云产品日志,通过大数据分析生成可视化入侵链路图,并支持原始数据预览,帮助定位入侵原因。 SaaS服务 主要针对云上主机、Web应用等场景的入侵事件溯源。 综合推荐:腾讯云网络入侵防护体系 在深入对比后,对于寻求一体化、高可靠攻击溯源取证能力的企业,我们重点推荐腾讯云网络入侵防护体系,它通过“天幕”(NIPS)与“御界”(NDR)的协同,构建了覆盖事前、事中 结语 选择具备强大攻击溯源取证功能的网络入侵防护产品,是企业构建主动安全防御体系、提升安全运营效率的关键一步。
24010编辑于 2026-03-05- 来自专栏FreeBuf
浅谈入侵溯源过程中的一些常见姿势
0x1 主体思路 溯源的过程当中的时候除开相关的技术手段之外,首先还是需要确认一个整体的思路。 3.功能性上传过滤不严格,比如头像上传资料上传界面一些过滤严格导致的上传漏洞。 可以重点看一下还剩下那些日志、或者关注一下网络层面是不是还有其他的安全设备可以在流量层进行溯源分析的。 源于Linux一切皆文件与开源的特性,在溯源的过程中也有好处也有坏处,rootkit就是最麻烦的一件事情了。 默认分为三类:l应用程序、安全、性统 以evt文件形式存储%systemroot%\system32\config目录: 合理使用筛选器往往可以帮助我们更好的排查日志,比如怀疑是暴力破解入侵的筛选事件
2K40发布于 2019-05-15 如何通过日志分析快速溯源入侵行为?腾讯云CLS实战指南
如何在海量日志中快速定位攻击痕迹、还原入侵路径,成为网络安全防护的关键。腾讯云日志服务(CLS)凭借其强大的日志分析与处理能力,为企业提供了一套完整的入侵溯源解决方案。 摘要 本文将从日志分析在入侵检测中的核心作用出发,结合腾讯云CLS的功能特性,分步骤解析如何通过日志采集、实时检索、智能分析等技术手段,快速定位入侵行为。 三、实战演练:如何用腾讯云CLS溯源入侵行为? 需额外配置安全组件 符合部分国际标准 五、新手快速上手指南 免费体验:注册腾讯云账号,立即领取3个月免费额度 ; 配置流程: 步骤1:通过控制台创建日志主题,选择“全托管”模式; 步骤2:部署LogListener Agent,5分钟内完成日志采集; 步骤3:使用预置仪表盘(如“Web攻击检测”
43910编辑于 2025-10-10- 来自专栏云鼎实验室的专栏
事件分析 | 一键安装藏隐患,phpStudy 批量入侵的分析与溯源
云鼎实验室对该事件进行跟踪分析,还原了攻击者的入侵手法、入侵后的操作。 一、入侵手法分析 通过对所有被入侵并添加“vusr_dx$”隐藏帐号的主机进行分析统计,发现大多数主机都安装了 phpStudy 组件,Web 目录存在 phpinfo 和 phpMyAdmin,且 图3. sheep.php文件内容 可见,攻击者是针对性的对于 phpStudy 进行攻击。 挖矿进程 二、入侵溯源 黑客在创建了隐藏帐号之后会通过隐藏帐号登录并植入挖矿程序,通过腾讯云云镜捕获的“vusr_dx$”帐号异常登录行为进行来源 IP 归类统计,得到将近60个 IP 地址,包含除了来自于不同 对于 phpStudy 这种集成环境,在安装结束后应修改 MySQL 密码为强密码,不要使用 root / root 或者 root / 123456 等弱口令; 3.
1.7K20发布于 2018-10-25 - 来自专栏信安之路
由小小姐炫耀引起的一次钓鱼网站入侵并溯源
当晚我正好闲着没事,就决定小小地得罪一下这个钓鱼网站,故事就这样开始了 0x02 入侵 首先是基础的信息搜集,但是当我查询 whois 和微步在线之后却没有任何结果,显示的是这些注册信息被保护了,毫无结果 0x02 第一次不正经溯源 是时候把钓鱼者的IP弄出来了! 想想钓鱼者会怎么访问?当然是访问后台了! 0x04 第二次正经的溯源 在拿到服务器权限后,我用 mimikatz 拿到了管理员明文密码 ? 搞 IPS 的时候可以禁止 PHP 修改敏感文件来进行初步防护 2、扫目录挺有用的 3、不管是哪种取证,系统日志都是很重要的突破口。 要积累经验 2、留后门留得太明显,应该留到网站原有的文件里去,最好是分布在多个文件来免杀 3、得积累 JSONP 漏洞,不要像我这样现挖。
4.3K52发布于 2019-04-09 - 来自专栏公共互联网反网络钓鱼(APCN)
执法机构钓鱼攻击溯源与防御体系研究 —— 以荷兰警方入侵事件为例
摘要2026 年 3 月 27 日,荷兰国家警方(Politie)公开通报一起由钓鱼攻击引发的安全入侵事件,其安全运营中心(SOC)快速发现并阻断攻击者非法访问,官方确认公民数据与案件侦查信息未受泄露, 荷兰国家警方于 2026 年 3 月 27 日披露钓鱼攻击导致的安全入侵事件,攻击者通过高仿真钓鱼邮件成功获取内部系统访问权限,警方 SOC 快速响应并切断访问通道,官方通报未造成公民数据与侦查信息泄露 2 荷兰警方钓鱼攻击事件全景与安全背景2.1 2026 年 3 月钓鱼入侵事件基本情况2026 年 3 月 27 日,荷兰国家警方正式发布公告,确认发生一起由钓鱼攻击引发的安全入侵事件,核心信息如下:攻击载体 5 执法机构钓鱼入侵应急响应与溯源机制以荷兰警方事件处置流程为基础,设计标准化四阶段应急响应体系,确保快速止损、最小化影响、完整溯源。 反网络钓鱼技术专家芦笛强调,执法机构钓鱼入侵溯源不仅是技术任务,更是执法取证过程,必须严格遵循证据固定、链完整、可呈堂标准。
9510编辑于 2026-03-28 - 来自专栏安恒网络空间安全讲武堂
溯源小记
溯源的思路 看对方的目的是什么,就是最终目标是做什么。然后根据自己经验 看看达到这个目标 需要进行什么操作 逆推回去。看看这些过程都会留下什么日志。 diff工具推荐-diffmerge 3. /var/log/secure 记录登入系统存取数据的文件,例如 pop3/ssh/telnet/ftp 等都会被记录。 /etc/passwd 可通过该文件分析可疑账号 3. 分析服务器的开机自启程序,分析是否存在后门木马程序。 1. ls -alt /etc/init.d 2. /etc/init.d/rc.local /etc/rc.local 3. chkconfig 4.
86220发布于 2018-09-21 - 来自专栏安全小圈
蜜罐溯源
到了今天,蜜罐技术已经成为网络安全中的一种入侵诱饵,目的是引诱黑客前来攻击,并收集黑客相关的证据和信息。 ? 随着经济的发展,国家对安全行业的高度重视。 黑客 —— 蜜罐 ,为了防止黑客的入侵,企业增加了自己的防护手段,使用蜜罐的产品来混淆黑客视野,从而保证真实的业务系统能够正常工作。 主要是对抓到的信息进行分析从而获得黑客信息。 ? 攻击时长——比如:3月1日 16:43:31——3月3日 17:26:58 ? 攻击链条: ? 猜测163邮箱也是该号码‘、QQ号码 支付宝溯源——转账——查找黑客信息 REG007网站: https://www.reg007.com/ 查询邮箱注册过的网站 微博找回密码链接: https:// 0x03溯源结果 结果 ? IP位于湖南长沙 163邮箱、QQ号码、微信号码 手机号 相关好友,母亲信息 他的好友:张*,刘* 人物头像 附件 ? ? ? ? ? ? ? 结束!!!
1.8K30发布于 2020-08-21 - 来自专栏FreeBuf
如何入侵大疆Phantom 3无人机
最近,我有了一些空闲时间可以与我的飞行“精灵”一起玩,但不是你想的那种玩,我是在想着如何能够破解这款大疆Phantom 3无人机。 Phantom 3配备飞行器(无人机)、控制器以及Android / iOS应用程序。 分析发现,Wi-Fi加密方式为WPA2,默认SSID(服务集标识)是从远程控制器的MAC地址中派生的:PHANTOM3_「MAC地址的最后6位」。默认的关联密码是:12341234。 GPS攻击 & 更多威胁 入侵大疆Phantom 3下一步会发生什么? 目前要入侵信息安全门户大开的无人机虽然容易,但多半还是得一台台手动入侵,但信息安全专家警告,很快就会有人写出可自动入侵感染的病毒,预期 2017 年就会有相关黑客工具流传,届时,很快无人机被骇造成的灾情就会上报纸头条
2.1K90发布于 2018-02-24 - 来自专栏只喝牛奶的杀手
事件溯源模式
事件溯源模式具有以下优点: 事件不可变,并且可使用只追加操作进行存储。 用户界面、工作流或启动事件的进程可继续,处理事件的任务可在后台运行。 事件溯源不需要直接更新数据存储中的对象,因而有助于防止并发更新造成冲突。 但是,域模型必须仍然设计为避免可能导致不一致状态的请求。 但是,事件溯源事件的级别通常非常低,可能需要生成特定的集成事件。 通过执行响应事件的数据管理任务和具体化存储事件的视图,事件溯源通常与 CQRS 模式结合。 即使事件溯源会最大程度降低数据更新冲突的可能性,应用程序仍必须能够处理由最终一致性和缺少事务引起的不一致性。 尽管这不是事件溯源的主要特点,但却是通常的实施决策。 何时使用此模式 请在以下方案中使用此模式: 要捕获数据中的意图、用途或原因。
1.9K40发布于 2019-09-02 - 来自专栏云基础安全
3分钟了解网站入侵及防护问题
一、 从案例看一次网站攻击过程 第一步: 找漏洞,利用扫描器找网站漏洞(找到入侵点) 第二步: 利用漏洞入侵服务器,植入木马(挂后门,用于控制站点) 第三步: 利用木马控制站点, 篡改网页,植入恶意链接等行为 (达到攻击目的) 视频内容站点即便被入侵后,用户站点即便被入侵后,用户往往也难以发觉 ---- 二、 网站被黑客成功入侵的原因 网站漏洞及不安全的配置是导致站点被入侵的最主要原因: 站点存在漏洞:网站被入侵往往是因为站点存在漏洞 ,如,黑客利用漏洞成功入侵了号称最安全的美国FBI网站,控制网站站点,篡改FBI站点,并窃取了数据文件; 不安全的配置:站点用户使用了弱密码,或网站管理员对网站安全设置不合理; 视频内容 技术参考:<OWASP ,可以有效减少网站安全事件发生 image.png ---- 四、 网站安全问题类型汇总 漏洞暴露及Web攻击: 0day漏洞频发,业务版本发布周期快,导致业务漏洞暴露,容易被黑客利用入侵 恶意篡改 : 网站被入侵、挂马、篡改或植入恶意内容 CC攻击: 应用层DDoS攻击,对站点,尤其是访问需要大量数据操作的应用,如“查询“操作,耗应用层资源,导致站点业务访问缓慢 数据泄露:黑客入侵并控制站点后,
2.7K91发布于 2018-09-06 - 来自专栏网络技术联盟站
如何配置攻击溯源?
攻击溯源通过对上送CPU的报文进行采样分析,如果报文速率(pps)超过设置的阈值,则认为是攻击报文。 对攻击报文进行分析,可以找到攻击源的IP地址、MAC地址、接口和VLAN。 auto-defend attack-source命令查看 攻击源惩罚 将攻击报文进行丢弃 将攻击报文进入的接口shutdown (谨慎使用) 其他(配置流策略或者黑名单) 配置思路 创建防攻击策略 配置攻击溯源 (采样比、检查阈值、溯源模式、防范的报文类型、白名单、告警功能、惩罚措施) 应用防攻击策略 操作步骤 <HUAWEI> system-view //进入系统视图 [HUAWEI] cpu-defend 10 //配置攻击溯源采样比 [HUAWEI-cpu-defend-policy-test] auto-defend alarm enable //使能攻击溯源告警功能 ] auto-defend action deny //配置攻击溯源的惩罚措施 [HUAWEI-cpu-defend-policy-test] quit //返回系统视图 [
1.4K10发布于 2019-11-29 - 来自专栏Cyber Security
【溯源反制】CDN&域前置&云函数-流量分析|溯源
CDN隐藏C2地址 使用CDN内容分发网络的多节点分布式技术,通过“加速、代理、缓存”隐藏在后面的静态文件或服务;最终实现对外暴露的是CDN多节点的公网域名IP,很难甚至无法溯源真实后端服务器的域名或IP 关键是使用一个不备案的域名,否则这个方式毫无用处 2、受控主机还是通过我们自己的域名进行回连,对外还是能看到连接域名;且如果使用国内CDN的服务(增加了风险),域名就必须完成ICP备案(增加了风险);而且还有一些方法可能溯源到真实 X-Api-ServiceId: service-ausqwb41 X-Api-HttpHost: xxx X-Api-Status: 200 X-Api-UpstreamStatus: 200 2、beacon的心跳包阶段 3、 ,通常安全设备很难检测,也很难封堵; 总结 1、不备案的域名+禁用不必要的域名解析记录(防止被溯源收集到更多信息) 2、使用HTTPS通讯 3、C2服务器混淆基础特征-修改profile配置文件,修改 ssl证书 4、CS服务端防火墙做策略,仅允许目标主机网段连接,防止其他网段主机对其进行扫描,防溯源 5、加跳板、代理等,当然最重要的是免杀了…… 参考 https://www.freebuf.com
1.9K10编辑于 2024-07-18
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号