- 综合排序
- 最热优先
- 最新优先
- 来自专栏网络安全溯源
网络安全溯源指南
下载地址:https://github.com/wsfengfan/SecurityTraceability/ 目录 一、 window系统溯源 1、 检查系统账号安全 1.1查看服务器是否存在可疑账号 2.2查看进程 3、 检查启动项、计划任务、服务 3.1检查启动项 3.2查看计划任务 3.3排查服务自启动 4、 检查系统相关信息 4.1查看系统补丁信息 2、 服务排查 2.1进程查看 2.2线程查看 2.3进程查杀 2.4调试分析 2.5查看服务 3、 网络排查 3.1分析可疑端口、可疑IP、可疑 PID及程序进程 4、 文件排查 4.1find命令的使用 4.2敏感目录 4.3基于时间点查找 三、日志分析 1、window日志分析 1.1安全日志分析 1、IP溯源 2、ID溯源 3、手机号溯源 4、EMail溯源 5、域名溯源 6、木马分析(云沙箱)Linux系统溯源排查1、系统排查1.1 系统信息$ lscpu #
1K30编辑于 2023-11-20 - 来自专栏Bypass
安全攻击溯源思路及案例
---- ---- 1、攻击源捕获 安全设备报警,如扫描IP、威胁阻断、病毒木马、入侵事件等 日志与流量分析,异常的通讯流量、攻击源与攻击目标等 服务器资源异常,异常的文件、账号、进程、端口,启动项、 --域名隐私保护 溯源案例:通过攻击IP历史解析记录/域名,对域名注册信息进行溯源分析 恶意样本 提取样本特征、用户名、ID、邮箱、C2服务器等信息--同源分析 溯源案例:样本分析过程中 社交账号 基于JSONP跨域,获取攻击者的主机信息、浏览器信息、真实 IP及社交信息等 利用条件:可以找到相关社交网站的jsonp接口泄露敏感信息,相关网站登录未注销 3、攻击者画像 案例二:Web入侵溯源 攻防场景:攻击者通过NDAY和0DAY漏洞渗入服务器网段,Webshell 触发安全预警或者威胁检测阻断了C&C域名的通讯。 溯源方式:隔离webshell样本,使用Web日志还原攻击路径,找到安全漏洞位置进行漏洞修复,从日志可以找到攻击者的IP地址,但攻击者一般都会使用代理服务器或匿名网络(例如Tor)来掩盖其真实的IP地址
3.3K32发布于 2020-10-26 - 来自专栏FreeBuf
记一次“受到攻击后不开心从而进行溯源”的安全溯源事件
但是想想,处理过那么多告警,几乎都是这样放过对面,这次我不想放过了,即使只是一个来自于互联网的盲打攻击,我也想看看到底是什么人干的,于是就有了这篇溯源文章… … 安全分析 1. 2021年7月某日下午, 3.熟不熟悉,意不意外我一眼就看出你不是人,大威天龙!抱歉,串戏了,这段很明显是cobalt strike的powershell攻击的信标脚本。 攻击反制 1、这里就得对黑客做个吐槽了,我作为一个非攻击队的底层安全人员,都知道给cobaltstrike注册一个域名,并通过修改证书增加cdn服务器对系统进行隐匿。 3.对被该服务端进行调查,再次将该cs主机称呼为1号机,发现该1号机建立针对其他主机的监听。 总结 溯源和反制大部分时候护网蓝队干的比较多,不知道有没有人是专门进行黑客追踪的,如果有这方面的大佬可以带带老弟。
87040发布于 2021-07-27 - 来自专栏农夫安全
某服务器安全溯源审计报告
流量关联分析 通过查看服务器连接的程序发现有外网ip 23.33.178.8和91.121.2.76两个,查看到clock-applet一般为程序自带的文件,而91.121.2.76 IP显示的程序为
1.3K60发布于 2018-03-30 - 来自专栏绿盟科技研究通讯
安全知识图谱 | 按图索“迹” 追踪溯源
其中代表工作有STUCCO[1]、UCO[2]、MALOnt[3]等。 安全知识图谱推理面临着通用知识图谱所面临的同样问题,如知识补全、知识去噪等。 如图3所示,该技术框架针对攻击事件报告中攻击行为的描述进行语义与语法分析,提取有效的实体与关系建立攻击行为子图,该攻击子图可以直接应用到日志溯源图中。 图3 EXTRACTOR[14]技术框架 攻击事件调查的另一个问题是路径依赖爆炸问题。 在攻击路径调查过程中,通常始于已确定的攻击行为或已攻陷的受害者攻击路径,而溯源的终止条件通常为外部IP的网络连接行为,如果无法溯源到网络连接行为则该主机即为最终攻击者。 这里路径溯源算法采用贪心算法。 Article 12. 2. https://github.com/stucco/ontology. 3.
1.3K40编辑于 2021-12-10 - 来自专栏JAVA技术zhai
【网络安全】浅谈IP溯源的原理及方法
溯源思路 1、攻击源捕获 安全设备报警,如扫描IP、威胁阻断、病毒木马、入侵事件等 日志与流量分析,异常的通讯流量、攻击源与攻击目标等 服务器资源异常,异常的文件、账号、进程、端口,启动项、计划任务和服务等 2.5 社交账号 基于JSONP跨域,获取攻击者的主机信息、浏览器信息、真实 IP及社交信息等 利用条件:可以找到相关社交网站的jsonp接口泄露敏感信息,相关网站登录未注销 3、攻击者画像 3.1 渗透、水坑攻击、近源渗透、社会工程等 3.2 攻击者身份画像 虚拟身份:ID、昵称、网名 真实身份:姓名、物理位置 联系方式:手机号、qq/微信、邮箱 组织情况:单位名称、职位信息 4、安全攻击溯源篇 4.2 案例二:Web入侵溯源 攻防场景:攻击者通过NDAY和0DAY漏洞渗入服务器网段,Webshell 触发安全预警或者威胁检测阻断了C&C域名的通讯。 溯源方式:隔离webshell样本,使用Web日志还原攻击路径,找到安全漏洞位置进行漏洞修复,从日志可以找到攻击者的IP地址,但攻击者一般都会使用代理服务器或匿名网络(例如Tor)来掩盖其真实的IP地址
3.8K21编辑于 2022-05-10 - 来自专栏Netkiller
食品安全溯源区块链解决方案探索
食品安全溯源案例 33.2.1. 背景 需求是通过区块链跟踪产品,实现产品产地,生产,流通等环节溯源。 安全问题 我将安全划分为六层,分别是: +----------+-----------------------------+ | 实体层 | 物 ,安全分为很多层,区块链只能做到存储层的安全。 区块链无法解决用户层,应用层,逻辑层等安全问题,他只能保证存储在硬盘上的区块不被修改。 颗粒度问题 朔源的颗粒度问题,例如“红酒”的溯源,我们是将单位溯源做到箱呢?还是打,或是瓶呢?
4.5K100发布于 2018-03-27 - 来自专栏数通
网络安全溯源方法,请网工务必掌握!
在当今这个数字化飞速发展的时代,网络攻击已经成为一种常见且严重的安全威胁。无论是个人用户还是大型企业,都可能成为网络攻击的目标。面对日益猖獗的网络攻击,攻击溯源成为了网络安全领域的一项重要工作。 那么,什么是攻击溯源?在网络安全中,攻击溯源有哪些方法呢?阿祥将为您详细解析。 什么是攻击溯源? 攻击溯源是指通过分析攻击事件的特点、行为、产生的日志等信息,追溯攻击者的来源和目的。 3. 追踪攻击IP IP地址是网络攻击者的重要标识之一。通过IP地址追踪,可以确定攻击者的位置和来源。 执法机构合作:与警方和国家安全机构合作,追踪和起诉网络犯罪分子。 结语 网络安全攻击溯源是一项复杂且多维的任务,需要综合运用多种技术和方法。 通过有效的攻击溯源,不仅可以迅速响应和缓解当前的安全威胁,还可以为未来的防御策略提供宝贵的见解和指导。希望本文能为您在网络安全领域的探索提供一些帮助。
1K10编辑于 2024-12-03 - 来自专栏Netkiller
食品安全溯源区块链解决方案探索
食品溯源案例 33.2.1. 背景 需求是通过区块链跟踪产品,实现产品产地,生产,流通等环节溯源。 安全问题 我将安全划分为六层,分别是: +----------+-----------------------------+ | 实体层 | 物 ,安全分为很多层,区块链只能做到存储层的安全。 颗粒度问题 朔源的颗粒度问题,例如“红酒”的溯源,我们是将单位溯源做到箱呢?还是打,或是瓶呢? Hyperledger fabric) Hyperledger Fabric 积分代币上链方案 Hyperledger fabric Chaincode 开发详解 Hyperledger也能实现Token代币 食品安全溯源区块链解决方案探索
9K1501发布于 2018-03-14 - 来自专栏数据派THU
讲座预告 | 中美网络安全标准追根溯源
ask.qcloudimg.com/http-save/yehe-1269631/0b09905f290e947a189051a835f1a5d4.png^0|0|1|0|0|0|1|1|0|0|1|2^^$0|@$1|2|3| 4|5|6|7|O|8|@]|9|@$A|P|B|Q|1|R]]|C|@]]|$1|D|3|4|5|6|7|S|8|@]|9|@$A|T|B|U|1|V]]|C|@]]|$1|E|3|4|5|6|7|W
33100编辑于 2022-09-14 - 来自专栏安恒网络空间安全讲武堂
溯源小记
溯源的思路 看对方的目的是什么,就是最终目标是做什么。然后根据自己经验 看看达到这个目标 需要进行什么操作 逆推回去。看看这些过程都会留下什么日志。 diff工具推荐-diffmerge 3. /var/log/secure 记录登入系统存取数据的文件,例如 pop3/ssh/telnet/ftp 等都会被记录。 /etc/passwd 可通过该文件分析可疑账号 3. 分析服务器的开机自启程序,分析是否存在后门木马程序。 1. ls -alt /etc/init.d 2. /etc/init.d/rc.local /etc/rc.local 3. chkconfig 4.
86920发布于 2018-09-21 - 来自专栏学习之旅
【安全】记录钓鱼邮件中木马病毒的分析溯源
3、先用扫毒工具简单扫一下。 VirScan - 多引擎文件在线检测平台可以发现,确实有一堆的病毒特征。 **安全机制**:包含安全cookie的初始化和检查,用于防止缓冲区溢出等安全问题。 3. **异常处理**:实现了异常处理机制,包括异常过滤、安全失败报告等。 4. - **安全机制**: - `___security_init_cookie`:初始化安全cookie,用于防止缓冲区溢出。 **安全机制的实现**:通过安全cookie和异常处理机制,增强了dll的安全性,防止常见的安全漏洞。 2. 3. **进程和线程的初始化与清理**:在dll的加载和卸载过程中,对进程和线程进行初始化和清理,确保资源的正确管理。
80710编辑于 2025-04-09 - 来自专栏安全小圈
蜜罐溯源
到了今天,蜜罐技术已经成为网络安全中的一种入侵诱饵,目的是引诱黑客前来攻击,并收集黑客相关的证据和信息。 ? 随着经济的发展,国家对安全行业的高度重视。 攻击时长——比如:3月1日 16:43:31——3月3日 17:26:58 ? 攻击链条: ? 猜测163邮箱也是该号码‘、QQ号码 支付宝溯源——转账——查找黑客信息 REG007网站: https://www.reg007.com/ 查询邮箱注册过的网站 微博找回密码链接: https:// 0x03溯源结果 结果 ? IP位于湖南长沙 163邮箱、QQ号码、微信号码 手机号 相关好友,母亲信息 他的好友:张*,刘* 人物头像 附件 ? ? ? ? ? ? ? 结束!!! 弥 天 安全实验室
1.8K30发布于 2020-08-21 - 来自专栏腾讯云安全专家服务
入侵溯源难点和云溯源体系建设
image.png 在安全行业,攻击溯源领域一直是一个强烈依赖人力和经验型的领域。 image.png ---- 3.高效安全溯源技术解决方案,溯源工具是空白。 (3) 体系化安全溯源知识,工具建设:几乎空白 可能会有同学质疑,很多安全产品也提供此类功能呀? ——亲测过许多安全检测分析产品和工具,取证逻辑上强关联真的不准确! 以OSI七层模型为例,还原我们溯源的时候,如何进行路径复现: image.png 安全溯源中常涉及的取证分析元素: 1.时间线分析:(1)最早探测时间(2)入侵时间(3)权限维持时间(4)登录时间 2. 目前还未看到较成熟和便捷使用的云内安全攻击溯源产品,在用户遇到问题时,以合作伙伴服务的模式来解决问题。
4.4K201发布于 2021-03-16 - 来自专栏腾讯云安全专家服务
从一次攻击溯源中暴露的安全问题
3.攻击者是通过什么漏洞弱点入侵的? 4.如何解决和修复这些问题?如何从根本上避免此类问题的出现? ---- 开始溯源! 查询本机登录密钥: cat /root/.ssh/authorized_keys 发现了三个不确定权限所属的登录密钥: image.png 3.主机层日志溯源 先搞清楚第一个问题: 1.攻击者如何命令执行的 逆向思维,从主机层分析——应用层展开分析溯源。 类RCE漏洞触发bash反弹shell远程命令执行 ---- 暴露问题 1.安全漏洞未及时修复,使用组件未及时更新 2.应用层日志nginx访问日志未配置,不具备应用层日志溯源能力 3.登录密钥配置不合理 门换了,小区对业主的自身的安全风险就不完全可控。 那么安全问题怎么来的呢?
1.6K112发布于 2021-03-03 - 来自专栏数据派THU
干货 | 陆宝华:中美网络安全标准追根溯源
2、对计算机信息系统安全进行了定义 第三条:计算机信息系统的安全保护,应当保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行 3、重点保护的思想 第四条:计算机信息系统的安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。 TCB的构成衍生出六个基本要求: 1、安全策略要求:访问控制要求、标记要求; 2、安全责任要求:标识与鉴别要求、审计要求; 3、安全保障要求:运行保障要求、生命周期保障要求(持续性保证) 4、文档要求 (1)安全功能用户指南 (2)可信设施手册 (3)测试文档 (4)设计资料 1、自主保护类 客体重用指当一个用户已经从系统当中退出,要释放原来占用的资源,主要包括外存储器、内部存储器,以及各种栈当中的资源释放 3、最高等级类 四、我的认识 我对网络安全的一些理解: 1、安全:是能够有效控制威胁的状态 2、面临的两大威胁:天灾、人祸。 天灾:由于自然和(或)自我的原因导致的安全事件。
72830编辑于 2022-09-23 - 来自专栏基础项目部署
centos入侵溯源
\.){3}[0-9]{1,3}\b" | sort | uniq -c | sort -nr|head -202、其中,/var/log/secure 主要查ssh暴力破解登陆的情况,通过awk、grep |uniq -cgrep "Failed password" /var/log/secure | grep -oE "\b([0-9]{1,3}\.){3}[0-9]{1,3}\b" | sort | www/html/*/*egrep 'eval|\$_POST|\$_REQUEST|\$_GET|assert' /var/www/html/*检测redis配置文件/etc/redis.conf 的安全策略 redis.conf |grep bindcat /etc/redis.conf |grep requirepasscat /etc/redis.conf |grep protected-mode五、网络设备网络安全设备如防火墙 、行为监测,安全平台如EDR平台、势态感知平台,或者旁路流量记录中查找失陷主机的南北和东西流量日志信息,找到攻击来源
59520编辑于 2024-08-19 - 来自专栏只喝牛奶的杀手
事件溯源模式
事件溯源模式具有以下优点: 事件不可变,并且可使用只追加操作进行存储。 用户界面、工作流或启动事件的进程可继续,处理事件的任务可在后台运行。 事件溯源不需要直接更新数据存储中的对象,因而有助于防止并发更新造成冲突。 但是,域模型必须仍然设计为避免可能导致不一致状态的请求。 但是,事件溯源事件的级别通常非常低,可能需要生成特定的集成事件。 通过执行响应事件的数据管理任务和具体化存储事件的视图,事件溯源通常与 CQRS 模式结合。 即使事件溯源会最大程度降低数据更新冲突的可能性,应用程序仍必须能够处理由最终一致性和缺少事务引起的不一致性。 尽管这不是事件溯源的主要特点,但却是通常的实施决策。 何时使用此模式 请在以下方案中使用此模式: 要捕获数据中的意图、用途或原因。
2K40发布于 2019-09-02 基于日志的邮件安全事件检测:从异常行为到攻击溯源
在邮件系统的安全防护中,日志分析是最基础、最重要的手段之一。通过对邮件服务器日志的深入分析,管理员可以识别并防范各种恶意行为,如自动化攻击、大量邮件投递、非法登录等安全事件。 本文将探讨如何利用邮件系统日志来检测恶意邮件行为,识别邮件系统中的异常行为,并结合入侵检测与防御系统(IDS/IPS)进行联合分析,实现对邮件安全事件的全方位监控与溯源。 具体来说,日志可以帮助我们:发现恶意邮件行为,如垃圾邮件、大规模邮件投递等;识别攻击者的异常操作,诸如暴力破解、恶意登录、非法发信等;辅助溯源,追踪攻击者的IP、设备信息,甚至邮件内容。 3. 非法发信检测非法发信行为,尤其是通过滥用邮件系统发送垃圾邮件或进行钓鱼攻击,往往会引发邮件服务器的滥用行为。例如,攻击者通过合法账户发送大量邮件,尝试将恶意链接或病毒附件传播给其他用户。 在实际操作中,管理员需要定期审查邮件系统日志、优化IDS/IPS配置,并及时响应安全事件,形成完善的安全防护体系。
24410编辑于 2025-11-20- 来自专栏网络技术联盟站
如何配置攻击溯源?
攻击溯源通过对上送CPU的报文进行采样分析,如果报文速率(pps)超过设置的阈值,则认为是攻击报文。 对攻击报文进行分析,可以找到攻击源的IP地址、MAC地址、接口和VLAN。 auto-defend attack-source命令查看 攻击源惩罚 将攻击报文进行丢弃 将攻击报文进入的接口shutdown (谨慎使用) 其他(配置流策略或者黑名单) 配置思路 创建防攻击策略 配置攻击溯源 (采样比、检查阈值、溯源模式、防范的报文类型、白名单、告警功能、惩罚措施) 应用防攻击策略 操作步骤 <HUAWEI> system-view //进入系统视图 [HUAWEI] cpu-defend 10 //配置攻击溯源采样比 [HUAWEI-cpu-defend-policy-test] auto-defend alarm enable //使能攻击溯源告警功能 ] auto-defend action deny //配置攻击溯源的惩罚措施 [HUAWEI-cpu-defend-policy-test] quit //返回系统视图 [
1.4K10发布于 2019-11-29
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号