- 综合排序
- 最热优先
- 最新优先
- 来自专栏网络安全溯源
网络安全溯源指南
下载地址:https://github.com/wsfengfan/SecurityTraceability/ 目录 一、 window系统溯源 1、 检查系统账号安全 1.1查看服务器是否存在可疑账号 检查启动项 3.2查看计划任务 3.3排查服务自启动 4、 检查系统相关信息 4.1查看系统补丁信息 4.2查看近期创建修改的文件 二、 Linux系统溯源 PID及程序进程 4、 文件排查 4.1find命令的使用 4.2敏感目录 4.3基于时间点查找 三、日志分析 1、window日志分析 1.1安全日志分析 Window 1.1WinFR 1.2Windows File Recovery 2、 Linux 2.1losf命令 2.2extundelete 2.3testdisk 五、溯源到人 1、IP溯源 2、ID溯源 3、手机号溯源 4、EMail溯源 5、域名溯源 6、木马分析(云沙箱)Linux系统溯源排查1、系统排查1.1 系统信息$ lscpu #
1K30编辑于 2023-11-20 - 来自专栏Bypass
安全攻击溯源思路及案例
---- ---- 1、攻击源捕获 安全设备报警,如扫描IP、威胁阻断、病毒木马、入侵事件等 日志与流量分析,异常的通讯流量、攻击源与攻击目标等 服务器资源异常,异常的文件、账号、进程、端口,启动项、 计划任务和服务等 邮件钓鱼,获取恶意文件样本、钓鱼网站URL等 蜜罐系统,获取攻击者行为、意图的相关信息 2、溯源反制手段 IP定位技术 根据IP定位物理地址--代理IP 溯源案例:通过 --域名隐私保护 溯源案例:通过攻击IP历史解析记录/域名,对域名注册信息进行溯源分析 恶意样本 提取样本特征、用户名、ID、邮箱、C2服务器等信息--同源分析 溯源案例:样本分析过程中 案例二:Web入侵溯源 攻防场景:攻击者通过NDAY和0DAY漏洞渗入服务器网段,Webshell 触发安全预警或者威胁检测阻断了C&C域名的通讯。 溯源方式:隔离webshell样本,使用Web日志还原攻击路径,找到安全漏洞位置进行漏洞修复,从日志可以找到攻击者的IP地址,但攻击者一般都会使用代理服务器或匿名网络(例如Tor)来掩盖其真实的IP地址
3.3K32发布于 2020-10-26 - 来自专栏FreeBuf
记一次“受到攻击后不开心从而进行溯源”的安全溯源事件
但是想想,处理过那么多告警,几乎都是这样放过对面,这次我不想放过了,即使只是一个来自于互联网的盲打攻击,我也想看看到底是什么人干的,于是就有了这篇溯源文章… … 安全分析 1. 2021年7月某日下午, 攻击反制 1、这里就得对黑客做个吐槽了,我作为一个非攻击队的底层安全人员,都知道给cobaltstrike注册一个域名,并通过修改证书增加cdn服务器对系统进行隐匿。 到此溯源分析工作完毕,毕竟得罪不起apt大佬,也没能耐能得罪人家 收尾工作 对白象apt组织做一个简单的介绍: ? ? 总结 溯源和反制大部分时候护网蓝队干的比较多,不知道有没有人是专门进行黑客追踪的,如果有这方面的大佬可以带带老弟。 分析过程中会发现好多问题,也许溯源很长时间一下线索断了,对个人信心打击比较大,但对于我这样没心没肺的来说,就那样吧。
87040发布于 2021-07-27 - 来自专栏农夫安全
某服务器安全溯源审计报告
流量关联分析 通过查看服务器连接的程序发现有外网ip 23.33.178.8和91.121.2.76两个,查看到clock-applet一般为程序自带的文件,而91.121.2.76 IP显示的程序为
1.3K60发布于 2018-03-30 - 来自专栏绿盟科技研究通讯
安全知识图谱 | 按图索“迹” 追踪溯源
如图3所示,该技术框架针对攻击事件报告中攻击行为的描述进行语义与语法分析,提取有效的实体与关系建立攻击行为子图,该攻击子图可以直接应用到日志溯源图中。 基于图中路径的攻击信息并不能完全反应攻击路径,需要结合威胁评估方法,把溯源图中的节点看作目标实体,边看作攻击行为,通过攻击威胁评估模型得到溯源图中每个节点的威胁度,基于节点的威胁度通过贪心算法找到攻击路径 图4 溯源图中的节点威胁度评估 真实的企业安全运营中,攻击行为是有一定的时序性,因此在调查攻击路径时需要考虑攻击行为的时序特征。通过对节点和边的威胁评估结果为节点与边赋予一个表述威胁度的权重。 在攻击路径调查过程中,通常始于已确定的攻击行为或已攻陷的受害者攻击路径,而溯源的终止条件通常为外部IP的网络连接行为,如果无法溯源到网络连接行为则该主机即为最终攻击者。 这里路径溯源算法采用贪心算法。 初始的溯源点可以是一个顶点也可以是一个被检测为攻击的行为。如果为顶点的话直接遍历该顶点的邻接节点,然后从邻居节点选择一个异常得分大的节点作为下一跳的起点。
1.3K40编辑于 2021-12-10 - 来自专栏JAVA技术zhai
【网络安全】浅谈IP溯源的原理及方法
溯源思路 1、攻击源捕获 安全设备报警,如扫描IP、威胁阻断、病毒木马、入侵事件等 日志与流量分析,异常的通讯流量、攻击源与攻击目标等 服务器资源异常,异常的文件、账号、进程、端口,启动项、计划任务和服务等 —域名隐私保护 溯源案例:通过攻击IP历史解析记录/域名,对域名注册信息进行溯源分析 2.4 恶意样本 提取样本特征、用户名、ID、邮箱、C2服务器等信息—同源分析 溯源案例:样本分析过程中,发现攻击者的个人 渗透、水坑攻击、近源渗透、社会工程等 3.2 攻击者身份画像 虚拟身份:ID、昵称、网名 真实身份:姓名、物理位置 联系方式:手机号、qq/微信、邮箱 组织情况:单位名称、职位信息 4、安全攻击溯源篇 4.2 案例二:Web入侵溯源 攻防场景:攻击者通过NDAY和0DAY漏洞渗入服务器网段,Webshell 触发安全预警或者威胁检测阻断了C&C域名的通讯。 溯源方式:隔离webshell样本,使用Web日志还原攻击路径,找到安全漏洞位置进行漏洞修复,从日志可以找到攻击者的IP地址,但攻击者一般都会使用代理服务器或匿名网络(例如Tor)来掩盖其真实的IP地址
3.8K21编辑于 2022-05-10 - 来自专栏Netkiller
食品安全溯源区块链解决方案探索
食品安全溯源案例 33.2.1. 背景 需求是通过区块链跟踪产品,实现产品产地,生产,流通等环节溯源。 安全问题 我将安全划分为六层,分别是: +----------+-----------------------------+ | 实体层 | 物 ,安全分为很多层,区块链只能做到存储层的安全。 区块链无法解决用户层,应用层,逻辑层等安全问题,他只能保证存储在硬盘上的区块不被修改。 颗粒度问题 朔源的颗粒度问题,例如“红酒”的溯源,我们是将单位溯源做到箱呢?还是打,或是瓶呢?
4.5K100发布于 2018-03-27 - 来自专栏数通
网络安全溯源方法,请网工务必掌握!
在当今这个数字化飞速发展的时代,网络攻击已经成为一种常见且严重的安全威胁。无论是个人用户还是大型企业,都可能成为网络攻击的目标。面对日益猖獗的网络攻击,攻击溯源成为了网络安全领域的一项重要工作。 那么,什么是攻击溯源?在网络安全中,攻击溯源有哪些方法呢?阿祥将为您详细解析。 什么是攻击溯源? 攻击溯源是指通过分析攻击事件的特点、行为、产生的日志等信息,追溯攻击者的来源和目的。 系统日志:包括操作系统日志、应用程序日志、安全设备日志等。这些日志记录了系统的运行状态、用户活动、异常事件等信息,是追踪攻击者的重要线索。 执法机构合作:与警方和国家安全机构合作,追踪和起诉网络犯罪分子。 结语 网络安全攻击溯源是一项复杂且多维的任务,需要综合运用多种技术和方法。 通过有效的攻击溯源,不仅可以迅速响应和缓解当前的安全威胁,还可以为未来的防御策略提供宝贵的见解和指导。希望本文能为您在网络安全领域的探索提供一些帮助。
1K10编辑于 2024-12-03 - 来自专栏Netkiller
食品安全溯源区块链解决方案探索
食品溯源案例 33.2.1. 背景 需求是通过区块链跟踪产品,实现产品产地,生产,流通等环节溯源。 安全问题 我将安全划分为六层,分别是: +----------+-----------------------------+ | 实体层 | 物 ,安全分为很多层,区块链只能做到存储层的安全。 颗粒度问题 朔源的颗粒度问题,例如“红酒”的溯源,我们是将单位溯源做到箱呢?还是打,或是瓶呢? Hyperledger fabric) Hyperledger Fabric 积分代币上链方案 Hyperledger fabric Chaincode 开发详解 Hyperledger也能实现Token代币 食品安全溯源区块链解决方案探索
9K1501发布于 2018-03-14 - 来自专栏数据派THU
讲座预告 | 中美网络安全标准追根溯源
blocks|key|1196782|text||type|atomic|depth|inlineStyleRanges|entityRanges|offset|length|data|1196786|1196790|entityMap|IMAGE|mutability|IMMUTABLE|imageUrl|https://ask.qcloudimg.com/http-save/yehe-1269631/26b591d9cc02373fa34c7f8f2c5b910b.png|imageAlt|https:
33200编辑于 2022-09-14 - 来自专栏安恒网络空间安全讲武堂
溯源小记
溯源的思路 看对方的目的是什么,就是最终目标是做什么。然后根据自己经验 看看达到这个目标 需要进行什么操作 逆推回去。看看这些过程都会留下什么日志。
86920发布于 2018-09-21 - 来自专栏学习之旅
【安全】记录钓鱼邮件中木马病毒的分析溯源
**安全机制**:包含安全cookie的初始化和检查,用于防止缓冲区溢出等安全问题。 3. **异常处理**:实现了异常处理机制,包括异常过滤、安全失败报告等。 4. - **安全机制**: - `___security_init_cookie`:初始化安全cookie,用于防止缓冲区溢出。 - `CookieCheckFunction`:检查安全cookie是否被破坏,若被破坏则调用`___report_gsfailure`报告安全失败。 **安全机制的实现**:通过安全cookie和异常处理机制,增强了dll的安全性,防止常见的安全漏洞。 2. 总结 这段代码实现了一个dll文件的入口点函数及相关功能,重点在于安全机制的实现、异常处理、内存管理和进程线程的管理。通过这些功能,确保dll在加载和运行过程中的安全性和稳定性。
80710编辑于 2025-04-09 - 来自专栏AI机器学习与深度学习算法
机器学习入门 11-7 RBF核函数
本系列是《玩转机器学习教程》一个整理的视频笔记。在上一小节详解介绍了什么是核函数,并且以多项式核函数为例介绍了核函数的实际含义。本小节具体来介绍另外一种比较特殊的核函数:高斯核函数,高斯核函数是在SVM算法中使用最多的一种核函数。
6.3K30发布于 2020-10-09 - 来自专栏安全小圈
蜜罐溯源
到了今天,蜜罐技术已经成为网络安全中的一种入侵诱饵,目的是引诱黑客前来攻击,并收集黑客相关的证据和信息。 ? 随着经济的发展,国家对安全行业的高度重视。 猜测163邮箱也是该号码‘、QQ号码 支付宝溯源——转账——查找黑客信息 REG007网站: https://www.reg007.com/ 查询邮箱注册过的网站 微博找回密码链接: https:// 0x03溯源结果 结果 ? IP位于湖南长沙 163邮箱、QQ号码、微信号码 手机号 相关好友,母亲信息 他的好友:张*,刘* 人物头像 附件 ? ? ? ? ? ? ? 结束!!! 弥 天 安全实验室
1.8K30发布于 2020-08-21 - 来自专栏腾讯云安全专家服务
入侵溯源难点和云溯源体系建设
image.png 在安全行业,攻击溯源领域一直是一个强烈依赖人力和经验型的领域。 image.png ---- 3.高效安全溯源技术解决方案,溯源工具是空白。 (3) 体系化安全溯源知识,工具建设:几乎空白 可能会有同学质疑,很多安全产品也提供此类功能呀? ——亲测过许多安全检测分析产品和工具,取证逻辑上强关联真的不准确! 目前还未看到较成熟和便捷使用的云内安全攻击溯源产品,在用户遇到问题时,以合作伙伴服务的模式来解决问题。 image.png ---- 6.结语 云上溯源体系建设,随着云用户安全问题激增(勒索病毒、挖矿木马、渗透入侵,配置隐患等问题)逐步威胁用户数据安全,影响用户产品体验。
4.4K201发布于 2021-03-16 - 来自专栏基础项目部署
centos入侵溯源
www/html/*/*egrep 'eval|\$_POST|\$_REQUEST|\$_GET|assert' /var/www/html/*检测redis配置文件/etc/redis.conf 的安全策略 redis.conf |grep bindcat /etc/redis.conf |grep requirepasscat /etc/redis.conf |grep protected-mode五、网络设备网络安全设备如防火墙 、行为监测,安全平台如EDR平台、势态感知平台,或者旁路流量记录中查找失陷主机的南北和东西流量日志信息,找到攻击来源
59520编辑于 2024-08-19 - 来自专栏数据派THU
干货 | 陆宝华:中美网络安全标准追根溯源
中央指令由公安部开展计算机安全工作,这就是中国计算机安全工作的起始。 二、等级保护的提出与信息系统的定义 1994年,国务院出台网络安全第一个法规:《中华人民共和国计算机信息系统安全保护条例》。 2、对计算机信息系统安全进行了定义 第三条:计算机信息系统的安全保护,应当保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行 4、范围、主管单位、规定了任何组织个人,不得危害计算机信息系统的安全 第九条:计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。 客体重用,在GB17859中作为一个独立的安全功能,在橘皮书当中是安全策略当中的一个子项。 审计,在GB17859中作为一个独立的安全功能,在橘皮书当中是安全责任当中的一个子项。 强制访问控制,在GB17859中作为一个独立的安全功能,在橘皮书当中是安全策略当中的一个子项。
72830编辑于 2022-09-23 - 来自专栏腾讯云安全专家服务
从一次攻击溯源中暴露的安全问题
---- 开始溯源! 逆向思维,从主机层分析——应用层展开分析溯源。 类RCE漏洞触发bash反弹shell远程命令执行 ---- 暴露问题 1.安全漏洞未及时修复,使用组件未及时更新 2.应用层日志nginx访问日志未配置,不具备应用层日志溯源能力 3.登录密钥配置不合理 ---- 总结 安全是一个动态的过程,云上主机安全核心问题是:配置优化和组件迭代问题。 怎么理解呢? 门换了,小区对业主的自身的安全风险就不完全可控。 那么安全问题怎么来的呢?
1.6K112发布于 2021-03-03 - 来自专栏只喝牛奶的杀手
事件溯源模式
事件溯源模式具有以下优点: 事件不可变,并且可使用只追加操作进行存储。 用户界面、工作流或启动事件的进程可继续,处理事件的任务可在后台运行。 事件溯源不需要直接更新数据存储中的对象,因而有助于防止并发更新造成冲突。 但是,域模型必须仍然设计为避免可能导致不一致状态的请求。 但是,事件溯源事件的级别通常非常低,可能需要生成特定的集成事件。 通过执行响应事件的数据管理任务和具体化存储事件的视图,事件溯源通常与 CQRS 模式结合。 即使事件溯源会最大程度降低数据更新冲突的可能性,应用程序仍必须能够处理由最终一致性和缺少事务引起的不一致性。 尽管这不是事件溯源的主要特点,但却是通常的实施决策。 何时使用此模式 请在以下方案中使用此模式: 要捕获数据中的意图、用途或原因。
2K40发布于 2019-09-02 基于日志的邮件安全事件检测:从异常行为到攻击溯源
在邮件系统的安全防护中,日志分析是最基础、最重要的手段之一。通过对邮件服务器日志的深入分析,管理员可以识别并防范各种恶意行为,如自动化攻击、大量邮件投递、非法登录等安全事件。 本文将探讨如何利用邮件系统日志来检测恶意邮件行为,识别邮件系统中的异常行为,并结合入侵检测与防御系统(IDS/IPS)进行联合分析,实现对邮件安全事件的全方位监控与溯源。 具体来说,日志可以帮助我们:发现恶意邮件行为,如垃圾邮件、大规模邮件投递等;识别攻击者的异常操作,诸如暴力破解、恶意登录、非法发信等;辅助溯源,追踪攻击者的IP、设备信息,甚至邮件内容。 邮件系统的安全防护需要结合多种策略与工具,通过综合分析和自动化防御机制,确保企业邮件系统不被恶意攻击者利用,保障通信的安全与顺畅。 在实际操作中,管理员需要定期审查邮件系统日志、优化IDS/IPS配置,并及时响应安全事件,形成完善的安全防护体系。
24410编辑于 2025-11-20
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号