- 综合排序
- 最热优先
- 最新优先
- 来自专栏基础项目部署
centos入侵溯源
jndi|excute|%20|system|exec|passthru|shell_exec|popen|proc_open'三、 查看系统日志分析登陆日志继续分析登陆日志,查看失陷主机是否有其他被入侵的途径分析方式 \.#(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?) \.(25[0-5]|2[0-4] [0-9]|[01]?[0-9][0-9]?)" print $9}' | sort | uniq -c | sort -nr四、扫描异常文件我们对服务器进行扫描,检测是否存在异常的文件(如webshell文件或者其他挖矿脚本文件),从文件中尝试分析服务器被入侵原因主要借助工具 ,但是通常情况下从文件中尝试分析服务器被入侵原因成功率不高,因为攻击者通常不会在文件里面留下入侵痕迹参考命令egrep 'eval|\$_POST|\$_REQUEST|\$_GET|assert' /
57720编辑于 2024-08-19 - 来自专栏腾讯云安全专家服务
入侵溯源难点和云溯源体系建设
个人认为,能成为一个出色的入侵溯源白帽子的技术广度和深度的积累,是比成为一个入侵者要更难和更具挑战的! 就好像高考AB卷,A卷是攻击,B卷是防守。 入侵者只要会做A卷,而白帽子是AB卷都要会做。 入侵溯源工具能力局限的本质问题: 基于某一层入侵元素做为起始点的入侵行为分析逻辑都有被灵活多变的渗透测试技巧跳脱的机会,因为攻击动作是动态多向的,溯源工具是静态单向的。 image.png ---- 4.入侵溯源监控体系如何建设呢? 以OSI七层模型为例,还原我们溯源的时候,如何进行路径复现: image.png 安全溯源中常涉及的取证分析元素: 1.时间线分析:(1)最早探测时间(2)入侵时间(3)权限维持时间(4)登录时间 2. 云上入侵溯源体系建设,入侵溯源体系产品化实现已成重要趋势。
4.4K201发布于 2021-03-16 - 来自专栏宸机笔记
入侵溯源之总体概括
https://github.com/JeffXue/web-log-parser
68810发布于 2020-11-04 - 来自专栏ly0n
浅谈入侵溯源学习
看了一位大师傅的博客,然后自己又学了点其他的记录下 大师傅博客:https://oneda1sy.gitee.io/ 文章地址:https://oneda1sy.gitee.io/2020/05/13/qzsy-1/ 溯源思路 常下手的几个点 1.网页源码分析 2.日志分析 3.系统存储的信息分析 4.分析进程端口 网页源码分析 网页源码分析又包括几个方面 1.查杀后门 2.diff源码 3.查看文件时间排序 4.使用find 可以根据这些信息确定网站别入侵的时间,然后写脚本将重要信息提取出来。 diff源码 查找文件被修改的地方,记录被修改的代码信息。可以根据文件的修改信息来进一步分析。 查看文件时间排序 可以根据文件的排序迅速找到被攻击者修改的文件,从而找到入侵时间。 ? /etc/passwd 3.分析服务器的开机自启程序 4.查看登录信息 history 通过该命令来查看服务器上使用过的历史命令,查看是否有敏感信息。
58520发布于 2020-11-04 - 来自专栏红蓝对抗
攻防|记两次内网入侵溯源
1.1、入侵告警 1、某天深夜主机防护突然爆出CS木马后门,这攻击队不讲武德呀,还好没睡着 2、赶紧叫醒旁边看流量设备的哥们儿,尝试Shiro 反序列漏洞攻击成功 3、测试目标网站存在shiro反序列化漏洞 node { author { name email } } } } } } }}} 查询到攻击者的QQ号 通过API接口查询QQ号绑定的手机号 4、 XX厂商 XXX邀请攻击者加入了群聊 1.4、总结 2.1、排查 1、在某次攻防演练中,笔前往客户现场进行内网入侵排查处置溯源工作。到达现场后,笔者惊讶地发现,客户唯一的安全设备是一台防火墙。 但是在威胁情报平台并未查到有效信息 4、在受害主机上发现了frp以及fscan,frp远控服务器地址XXX.XXX.72.91 域名反查,找到一个疑似域名所有者姓名的域名,但是搜索域名并未找到更多信息 2.3、总结 本次于应急的难点在于客户那边没有除了防火墙外的安全设备,寻找入口点消耗了大量时间,只能一个个看日志文件,找到入口点锁定了受害主机后寻找入侵痕迹,从反代软件的日志中找到了外联服务器IP,从IP
70930编辑于 2023-10-09 - 来自专栏红蓝对抗
攻防|记两次内网入侵溯源
1.1、入侵告警1、某天深夜主机防护突然爆出CS木马后门,这攻击队不讲武德呀,还好没睡着2、赶紧叫醒旁边看流量设备的哥们儿,尝试Shiro 反序列漏洞攻击成功3、测试目标网站存在shiro反序列化漏洞1.2 first: 5) { edges { node { author { name email } } } } } } }}}查询到攻击者的QQ号通过API接口查询QQ号绑定的手机号4、 XX厂商 XXX邀请攻击者加入了群聊1.4、总结2.1、排查1、在某次攻防演练中,笔前往客户现场进行内网入侵排查处置溯源工作。到达现场后,笔者惊讶地发现,客户唯一的安全设备是一台防火墙。 但是在威胁情报平台并未查到有效信息4、在受害主机上发现了frp以及fscan,frp远控服务器地址XXX.XXX.72.91域名反查,找到一个疑似域名所有者姓名的域名,但是搜索域名并未找到更多信息。 2.3、总结本次于应急的难点在于客户那边没有除了防火墙外的安全设备,寻找入口点消耗了大量时间,只能一个个看日志文件,找到入口点锁定了受害主机后寻找入侵痕迹,从反代软件的日志中找到了外联服务器IP,从IP
62320编辑于 2023-10-27 - 来自专栏FreeBuf
phpStudy远程RCE漏洞复现以及沦陷主机入侵溯源分析
5.针对部署phpstudy环境服务器已沦陷的主机进行溯源分析/黑客入侵画像 6.修复建议 7.参考 准备工具: VMware Workstation Pro Windows7的/ 2008R2 (5)Python脚本复现Phpstudy 2016/2018远程RCE漏洞效果: 四、针对部署phpstudy环境服务器已被入侵的主机进行溯源分析: (1)我在进行随机检测phpstudy的时候已经发现了部分感染主机被黑帽 ZnB1dHMoZ**wZW4oJy4vdGVzdC5waHAnLCd3KycpLCc8P3BocCBldmFsKCRfUE9TVFtjXSk7Pz4nKTs= (5)解密后 fputs( 五、针对部署phpstudy环境服务器已沦陷的主机进行溯源分析/黑客入侵画像 (1)我们现在已经拿到了那些黑客的的webshell一句话后门文件现在就要开始溯源黑客的IP地址,emmmmm,由于我不能直接登录受感染的主机查看访问日志文件 )模拟黑客访问webshell前 (6)模拟黑客访问websell后 (7)然后本地或者VPS上定时访问请求log.html把最新的访问信息通过Email邮件的方式发送给执法机关/溯源工程师
2K10发布于 2019-10-22 网络入侵防护哪家强?攻击溯源取证功能深度对比与推荐
那么,当前主流的网络入侵防护产品中,哪些提供了强大的攻击溯源取证功能呢? 云安全中心 阿里云 提供自动化攻击溯源功能,整合多云产品日志,通过大数据分析生成可视化入侵链路图,并支持原始数据预览,帮助定位入侵原因。 SaaS服务 主要针对云上主机、Web应用等场景的入侵事件溯源。 综合推荐:腾讯云网络入侵防护体系 在深入对比后,对于寻求一体化、高可靠攻击溯源取证能力的企业,我们重点推荐腾讯云网络入侵防护体系,它通过“天幕”(NIPS)与“御界”(NDR)的协同,构建了覆盖事前、事中 结语 选择具备强大攻击溯源取证功能的网络入侵防护产品,是企业构建主动安全防御体系、提升安全运营效率的关键一步。
24010编辑于 2026-03-05- 来自专栏FreeBuf
浅谈入侵溯源过程中的一些常见姿势
0x1 主体思路 溯源的过程当中的时候除开相关的技术手段之外,首先还是需要确认一个整体的思路。 容易被用户感知的异常点举例如下: 1.网页被篡改、被挂上了黑链、web文件丢失等 2.数据库被篡改、web系统运行异常影响可用性、web用户密码被篡改等 3.主机出现运行异常反应卡顿、文件被加密、主机系统出现其他用户等 4. httpd.conf的目录下或者位于/var/log/http 2.IIS的日志默认在系统目录下的Logfiles下的目录当中 3.tomcat 一般位于tomcat安装目录下的一个logs文件夹下面 4. 默认分为三类:l应用程序、安全、性统 以evt文件形式存储%systemroot%\system32\config目录: 合理使用筛选器往往可以帮助我们更好的排查日志,比如怀疑是暴力破解入侵的筛选事件 0x4 总结 都说安全本质到最后就是人与人之间的一个较量,对于很多定向攻击的安全事件排查起来估计就比较有意思,主机端的日志被清除掉流量层面全程隧道通信就呵呵了。
2K40发布于 2019-05-15 如何通过日志分析快速溯源入侵行为?腾讯云CLS实战指南
如何在海量日志中快速定位攻击痕迹、还原入侵路径,成为网络安全防护的关键。腾讯云日志服务(CLS)凭借其强大的日志分析与处理能力,为企业提供了一套完整的入侵溯源解决方案。 摘要 本文将从日志分析在入侵检测中的核心作用出发,结合腾讯云CLS的功能特性,分步骤解析如何通过日志采集、实时检索、智能分析等技术手段,快速定位入侵行为。 三、实战演练:如何用腾讯云CLS溯源入侵行为? 实时告警 配置告警策略:当QPS(每秒查询率)>10000次且状态码4xx占比超50%时触发告警; 通过企业微信/钉钉接收实时通知,告警内容包含攻击IP、请求路径等关键字段。 立即访问https://cloud.tencent.com/product/cls,开启您的安全溯源之旅!
43910编辑于 2025-10-10- 来自专栏云鼎实验室的专栏
事件分析 | 一键安装藏隐患,phpStudy 批量入侵的分析与溯源
云鼎实验室对该事件进行跟踪分析,还原了攻击者的入侵手法、入侵后的操作。 攻击者在创建完帐户后,会将挖矿木马上传到路径 C:\ProgramData\Zational\Zational.exe(MD5:cb6f37e76dd233256f1c3303b4e99b1c)并运行。 图4. 挖矿进程 二、入侵溯源 黑客在创建了隐藏帐号之后会通过隐藏帐号登录并植入挖矿程序,通过腾讯云云镜捕获的“vusr_dx$”帐号异常登录行为进行来源 IP 归类统计,得到将近60个 IP 地址,包含除了来自于不同 云镜对于受攻击主机的漏洞扫描报警 四、IOCs MD5:cb6f37e76dd233256f1c3303b4e99b1c 矿池地址:hxxp://gowel.top:11588 腾讯安全云鼎实验室 腾讯安全云鼎实验室关注云主机与云内流量的安全研究和安全运营
1.7K20发布于 2018-10-25 - 来自专栏信安之路
由小小姐炫耀引起的一次钓鱼网站入侵并溯源
当晚我正好闲着没事,就决定小小地得罪一下这个钓鱼网站,故事就这样开始了 0x02 入侵 首先是基础的信息搜集,但是当我查询 whois 和微步在线之后却没有任何结果,显示的是这些注册信息被保护了,毫无结果 0x02 第一次不正经溯源 是时候把钓鱼者的IP弄出来了! 想想钓鱼者会怎么访问?当然是访问后台了! 0x04 第二次正经的溯源 在拿到服务器权限后,我用 mimikatz 拿到了管理员明文密码 ? 0x05 使用了 0day 的不完全溯源 后来某一天课上完的时候,我问了老师业界大牛Dr,大牛告诉我可以挖下讯边缘业务的 JSONP 漏洞来泄漏攻击者的 QQ。 我都在考虑写一个扫描 JSONP 漏洞的插件了 4、得积累一些针对国内软件(如宝塔)的信息搜集工具
4.3K52发布于 2019-04-09 - 来自专栏公共互联网反网络钓鱼(APCN)
执法机构钓鱼攻击溯源与防御体系研究 —— 以荷兰警方入侵事件为例
4 执法机构定向钓鱼防御模型构建与代码实现基于荷兰警方事件特征,构建邮件可信认证 — 内容语义检测 — 异常登录判定 — 会话实时管控四层防御模型,适配执法机构高安全需求。 # 路径含随机串 path = urlparse(url).path if len(path) > 18 and sum(c.isdigit() for c in path) >= 4: 5 执法机构钓鱼入侵应急响应与溯源机制以荷兰警方事件处置流程为基础,设计标准化四阶段应急响应体系,确保快速止损、最小化影响、完整溯源。 5.5 溯源关键技术要点邮件溯源:通过邮件头、返回路径、域名注册信息定位投递渠道;流量溯源:分析 IP 归属、ASN、服务器位置、历史关联事件;诱饵溯源:对比模板、话术、代码特征,匹配已知攻击组织;跨境协同 反网络钓鱼技术专家芦笛强调,执法机构钓鱼入侵溯源不仅是技术任务,更是执法取证过程,必须严格遵循证据固定、链完整、可呈堂标准。
9510编辑于 2026-03-28 - 来自专栏安恒网络空间安全讲武堂
溯源小记
溯源的思路 看对方的目的是什么,就是最终目标是做什么。然后根据自己经验 看看达到这个目标 需要进行什么操作 逆推回去。看看这些过程都会留下什么日志。 --- 2 yang yang 4096 6月 28 07:54 .gconf -rw------- 1 yang yang 49 6月 28 07:54 .Xauthority 4. 根据ip筛选 sudo cat access.log| grep 'ip' 4. u 0 用户名 端口 来自 最后登陆时间 root **从未登录过** 4. /etc/init.d/rc.local /etc/rc.local 3. chkconfig 4.
86220发布于 2018-09-21 - 来自专栏安全小圈
蜜罐溯源
到了今天,蜜罐技术已经成为网络安全中的一种入侵诱饵,目的是引诱黑客前来攻击,并收集黑客相关的证据和信息。 ? 随着经济的发展,国家对安全行业的高度重视。 黑客 —— 蜜罐 ,为了防止黑客的入侵,企业增加了自己的防护手段,使用蜜罐的产品来混淆黑客视野,从而保证真实的业务系统能够正常工作。 主要是对抓到的信息进行分析从而获得黑客信息。 ? 猜测163邮箱也是该号码‘、QQ号码 支付宝溯源——转账——查找黑客信息 REG007网站: https://www.reg007.com/ 查询邮箱注册过的网站 微博找回密码链接: https:// 0x03溯源结果 结果 ? IP位于湖南长沙 163邮箱、QQ号码、微信号码 手机号 相关好友,母亲信息 他的好友:张*,刘* 人物头像 附件 ? ? ? ? ? ? ? 结束!!!
1.8K30发布于 2020-08-21 - 来自专栏只喝牛奶的杀手
事件溯源模式
事件溯源模式具有以下优点: 事件不可变,并且可使用只追加操作进行存储。 用户界面、工作流或启动事件的进程可继续,处理事件的任务可在后台运行。 事件溯源不需要直接更新数据存储中的对象,因而有助于防止并发更新造成冲突。 但是,域模型必须仍然设计为避免可能导致不一致状态的请求。 但是,事件溯源事件的级别通常非常低,可能需要生成特定的集成事件。 通过执行响应事件的数据管理任务和具体化存储事件的视图,事件溯源通常与 CQRS 模式结合。 即使事件溯源会最大程度降低数据更新冲突的可能性,应用程序仍必须能够处理由最终一致性和缺少事务引起的不一致性。 尽管这不是事件溯源的主要特点,但却是通常的实施决策。 何时使用此模式 请在以下方案中使用此模式: 要捕获数据中的意图、用途或原因。
1.9K40发布于 2019-09-02 - 来自专栏网络技术联盟站
如何配置攻击溯源?
攻击溯源通过对上送CPU的报文进行采样分析,如果报文速率(pps)超过设置的阈值,则认为是攻击报文。 对攻击报文进行分析,可以找到攻击源的IP地址、MAC地址、接口和VLAN。 auto-defend attack-source命令查看 攻击源惩罚 将攻击报文进行丢弃 将攻击报文进入的接口shutdown (谨慎使用) 其他(配置流策略或者黑名单) 配置思路 创建防攻击策略 配置攻击溯源 (采样比、检查阈值、溯源模式、防范的报文类型、白名单、告警功能、惩罚措施) 应用防攻击策略 操作步骤 <HUAWEI> system-view //进入系统视图 [HUAWEI] cpu-defend 10 //配置攻击溯源采样比 [HUAWEI-cpu-defend-policy-test] auto-defend alarm enable //使能攻击溯源告警功能 ] auto-defend action deny //配置攻击溯源的惩罚措施 [HUAWEI-cpu-defend-policy-test] quit //返回系统视图 [
1.4K10发布于 2019-11-29 - 来自专栏Cyber Security
【溯源反制】CDN&域前置&云函数-流量分析|溯源
CDN隐藏C2地址 使用CDN内容分发网络的多节点分布式技术,通过“加速、代理、缓存”隐藏在后面的静态文件或服务;最终实现对外暴露的是CDN多节点的公网域名IP,很难甚至无法溯源真实后端服务器的域名或IP 对外还是可以看到连接域名(下一步就是找到CDN后的真实IP),域名会暴露 子域名、IP历史记录解析查询、网站订阅邮件、网站订阅邮件、国外超级ping、https证书…… 如果使用国内CDN服务,域名必须ICP备案(被溯源的可能性就会更大 关键是使用一个不备案的域名,否则这个方式毫无用处 2、受控主机还是通过我们自己的域名进行回连,对外还是能看到连接域名;且如果使用国内CDN的服务(增加了风险),域名就必须完成ICP备案(增加了风险);而且还有一些方法可能溯源到真实 ,可以联系腾讯云客服配合调查 优点:本方案使用高信誉域名进行连接,通常安全设备很难检测,也很难封堵; 总结 1、不备案的域名+禁用不必要的域名解析记录(防止被溯源收集到更多信息) 2、使用HTTPS通讯 3、C2服务器混淆基础特征-修改profile配置文件,修改ssl证书 4、CS服务端防火墙做策略,仅允许目标主机网段连接,防止其他网段主机对其进行扫描,防溯源 5、加跳板、代理等,当然最重要的是免杀了
1.9K10编辑于 2024-07-18 - 来自专栏安恒信息
黑客新手入侵云服务器仅需4小时
外国媒体发表文章对云服务器的安全性做了剖析,以下为文章内容摘要:入侵云服务器需要多长时间? 为了探究这一问题答案,云安全创新企业CloudPassage联接6台服务器、2部运行微软操作系统的电脑以及4部运行Linux操作系统的电脑,并在电脑中下载形形色色被用户广泛使用的程序。 最终其中一名黑客只花了4个小时就成功入侵CloudPassage所配置的云服务器。 更糟糕的是,他只是IT业的新手。 格雷在研究了服务器上的操作系统和应用后,决定尝试能否把其中一个允许远程访问的应用作为实施入侵的漏洞。这一应用使用缺省密码,网络上已公布了数百个程序的缺省密码,因此格雷很容易就猜出密码。 格雷表示,“我回到公司做的第一件事就是马上对计算机设置做了几处修改,确保类似的入侵不会发生在我们公司中。”
3.7K50发布于 2018-04-10 - 来自专栏绿盟科技研究通讯
攻击溯源-手把手教你利用SPADE搭建终端溯源系统
终端溯源背景介绍 攻击溯源图是描述攻击者攻击行为相关的上下文信息,利用攻击溯源信息来挖掘攻击相关的线索是当前研究的热点。 关于终端溯源的工作学术上已有不少研究工作[1],这里基于SPADE[2]工具以及相关的终端采集工具(windows系统的ProcMon[3],linux系统下的audit[4],camflow[5])搭建一个简单的终端溯源图系统 存储模块 SPADE内置了neo4j图数据,也支持关系型数据的存储,同时也支持前面提到的文本格式的存储。 查询模块 支持针对溯源图的查询,查询语文是其自定义的。 三. neo4j: spade stop alston@ubuntu-vm:~/SPADE/lib/neo4j-community-4.1.1$ neo4j start 这里只能先关闭SPADE才能启动neu4j 图4 neo4j的终端示例 终端溯源调查系统基本搭建完成,用户可以利用neo4j的查询Cypher进行调查,也可以通过接口取图数据进行分析。 四. 结论 SPADE工具是一相对已经成熟。
3.1K20编辑于 2023-02-22
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号