- 综合排序
- 最热优先
- 最新优先
- 来自专栏网络安全溯源
网络安全溯源指南
下载地址:https://github.com/wsfengfan/SecurityTraceability/ 目录 一、 window系统溯源 1、 检查系统账号安全 1.1查看服务器是否存在可疑账号 PID及程序进程 4、 文件排查 4.1find命令的使用 4.2敏感目录 4.3基于时间点查找 三、日志分析 1、window日志分析 1.1安全日志分析 1、IP溯源 2、ID溯源 3、手机号溯源 4、EMail溯源 5、域名溯源 6、木马分析(云沙箱)Linux系统溯源排查1、系统排查1.1 系统信息$ lscpu # 3) 查看可登录账户$ grep '/bin/bash' /etc/passwd(4) 查看空口令账户$ awk -F: 'length($2)==0 {print $1}' /etc/shadow(5) 查看服务$ chkconfig --list #查看系统运行的服务 # 0-6表示等级 1 单用户模式 2 无网络连接的多用户命令模式 3 有网络连接的多用户命令模式 4 表示不可用 5
1K30编辑于 2023-11-20 - 来自专栏Bypass
安全攻击溯源思路及案例
---- ---- 1、攻击源捕获 安全设备报警,如扫描IP、威胁阻断、病毒木马、入侵事件等 日志与流量分析,异常的通讯流量、攻击源与攻击目标等 服务器资源异常,异常的文件、账号、进程、端口,启动项、 计划任务和服务等 邮件钓鱼,获取恶意文件样本、钓鱼网站URL等 蜜罐系统,获取攻击者行为、意图的相关信息 2、溯源反制手段 IP定位技术 根据IP定位物理地址--代理IP 溯源案例:通过 --域名隐私保护 溯源案例:通过攻击IP历史解析记录/域名,对域名注册信息进行溯源分析 恶意样本 提取样本特征、用户名、ID、邮箱、C2服务器等信息--同源分析 溯源案例:样本分析过程中 案例二:Web入侵溯源 攻防场景:攻击者通过NDAY和0DAY漏洞渗入服务器网段,Webshell 触发安全预警或者威胁检测阻断了C&C域名的通讯。 溯源方式:隔离webshell样本,使用Web日志还原攻击路径,找到安全漏洞位置进行漏洞修复,从日志可以找到攻击者的IP地址,但攻击者一般都会使用代理服务器或匿名网络(例如Tor)来掩盖其真实的IP地址
3.3K32发布于 2020-10-26 - 来自专栏FreeBuf
记一次“受到攻击后不开心从而进行溯源”的安全溯源事件
但是想想,处理过那么多告警,几乎都是这样放过对面,这次我不想放过了,即使只是一个来自于互联网的盲打攻击,我也想看看到底是什么人干的,于是就有了这篇溯源文章… … 安全分析 1. 2021年7月某日下午, 攻击反制 1、这里就得对黑客做个吐槽了,我作为一个非攻击队的底层安全人员,都知道给cobaltstrike注册一个域名,并通过修改证书增加cdn服务器对系统进行隐匿。 5、在情报留言处发现有情报将其标记为另一IP,对其进行信息查询发现于该ip相关的IP为apt组织相关IP ? 总结 溯源和反制大部分时候护网蓝队干的比较多,不知道有没有人是专门进行黑客追踪的,如果有这方面的大佬可以带带老弟。 分析过程中会发现好多问题,也许溯源很长时间一下线索断了,对个人信心打击比较大,但对于我这样没心没肺的来说,就那样吧。
87040发布于 2021-07-27 - 来自专栏农夫安全
某服务器安全溯源审计报告
流量关联分析 通过查看服务器连接的程序发现有外网ip 23.33.178.8和91.121.2.76两个,查看到clock-applet一般为程序自带的文件,而91.121.2.76 IP显示的程序为
1.3K60发布于 2018-03-30 - 来自专栏绿盟科技研究通讯
安全知识图谱 | 按图索“迹” 追踪溯源
安全知识图谱的构建是集成了与安全相关的异构知识库如CVE[4],CCE[5],CVSS[6],CAPEC[7],CYBOX[8],KillChain和STUCCO等。 IP2的邻节点有5个,其中威胁度最大的是P1节点,则攻击路径变成IP1→IP2→IP1。基于贪心算法可以得到攻击路径IP1→IP2→P1→P2→f2。 图4 溯源图中的节点威胁度评估 真实的企业安全运营中,攻击行为是有一定的时序性,因此在调查攻击路径时需要考虑攻击行为的时序特征。通过对节点和边的威胁评估结果为节点与边赋予一个表述威胁度的权重。 在攻击路径调查过程中,通常始于已确定的攻击行为或已攻陷的受害者攻击路径,而溯源的终止条件通常为外部IP的网络连接行为,如果无法溯源到网络连接行为则该主机即为最终攻击者。 这里路径溯源算法采用贪心算法。 Grance, Use of the Common Vulnerabilities and Exposures (CVE) Vulnerability Naming Scheme. 2002. 5.
1.3K40编辑于 2021-12-10 - 来自专栏JAVA技术zhai
【网络安全】浅谈IP溯源的原理及方法
溯源思路 1、攻击源捕获 安全设备报警,如扫描IP、威胁阻断、病毒木马、入侵事件等 日志与流量分析,异常的通讯流量、攻击源与攻击目标等 服务器资源异常,异常的文件、账号、进程、端口,启动项、计划任务和服务等 —域名隐私保护 溯源案例:通过攻击IP历史解析记录/域名,对域名注册信息进行溯源分析 2.4 恶意样本 提取样本特征、用户名、ID、邮箱、C2服务器等信息—同源分析 溯源案例:样本分析过程中,发现攻击者的个人 渗透、水坑攻击、近源渗透、社会工程等 3.2 攻击者身份画像 虚拟身份:ID、昵称、网名 真实身份:姓名、物理位置 联系方式:手机号、qq/微信、邮箱 组织情况:单位名称、职位信息 4、安全攻击溯源篇 4.2 案例二:Web入侵溯源 攻防场景:攻击者通过NDAY和0DAY漏洞渗入服务器网段,Webshell 触发安全预警或者威胁检测阻断了C&C域名的通讯。 溯源方式:隔离webshell样本,使用Web日志还原攻击路径,找到安全漏洞位置进行漏洞修复,从日志可以找到攻击者的IP地址,但攻击者一般都会使用代理服务器或匿名网络(例如Tor)来掩盖其真实的IP地址
3.8K21编辑于 2022-05-10 - 来自专栏Netkiller
食品安全溯源区块链解决方案探索
食品安全溯源案例 33.2.1. 背景 需求是通过区块链跟踪产品,实现产品产地,生产,流通等环节溯源。 安全问题 我将安全划分为六层,分别是: +----------+-----------------------------+ | 实体层 | 物 ,安全分为很多层,区块链只能做到存储层的安全。 区块链无法解决用户层,应用层,逻辑层等安全问题,他只能保证存储在硬盘上的区块不被修改。 颗粒度问题 朔源的颗粒度问题,例如“红酒”的溯源,我们是将单位溯源做到箱呢?还是打,或是瓶呢?
4.5K100发布于 2018-03-27 - 来自专栏历史专栏
【愚公系列】2023年5月 网络安全高级班 026.应急响应溯源分析待定
例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。
49240编辑于 2023-05-12 - 来自专栏数通
网络安全溯源方法,请网工务必掌握!
在当今这个数字化飞速发展的时代,网络攻击已经成为一种常见且严重的安全威胁。无论是个人用户还是大型企业,都可能成为网络攻击的目标。面对日益猖獗的网络攻击,攻击溯源成为了网络安全领域的一项重要工作。 那么,什么是攻击溯源?在网络安全中,攻击溯源有哪些方法呢?阿祥将为您详细解析。 什么是攻击溯源? 攻击溯源是指通过分析攻击事件的特点、行为、产生的日志等信息,追溯攻击者的来源和目的。 5. 建立攻击链路 攻击链路是指从攻击发起到目标被攻破的整个过程。通过对攻击事件的各个环节进行分析,可以建立完整的攻击链路,找到攻击者入侵的路径和方法。 执法机构合作:与警方和国家安全机构合作,追踪和起诉网络犯罪分子。 结语 网络安全攻击溯源是一项复杂且多维的任务,需要综合运用多种技术和方法。 通过有效的攻击溯源,不仅可以迅速响应和缓解当前的安全威胁,还可以为未来的防御策略提供宝贵的见解和指导。希望本文能为您在网络安全领域的探索提供一些帮助。
1K10编辑于 2024-12-03 - 来自专栏数据派THU
讲座预告 | 中美网络安全标准追根溯源
mutability|IMMUTABLE|imageUrl|https://ask.qcloudimg.com/http-save/yehe-1269631/26b591d9cc02373fa34c7f8f2c5b910b.png 52e38868786a331a36402555e688199b.png|https://ask.qcloudimg.com/http-save/yehe-1269631/0b09905f290e947a189051a835f1a5d4 .png^0|0|1|0|0|0|1|1|0|0|1|2^^$0|@$1|2|3|4|5|6|7|O|8|@]|9|@$A|P|B|Q|1|R]]|C|@]]|$1|D|3|4|5|6|7|S|8|@] |9|@$A|T|B|U|1|V]]|C|@]]|$1|E|3|4|5|6|7|W|8|@]|9|@$A|X|B|Y|1|Z]]|C|@]]]|F|@$5|G|H|I|C|$J|K|L|-4]]|$5| G|H|I|C|$J|M|L|-4]]|$5|G|H|I|C|$J|N|L|-4]]]]
33100编辑于 2022-09-14 - 来自专栏Netkiller
食品安全溯源区块链解决方案探索
食品溯源案例 33.2.1. 背景 需求是通过区块链跟踪产品,实现产品产地,生产,流通等环节溯源。 安全问题 我将安全划分为六层,分别是: +----------+-----------------------------+ | 实体层 | 物 ,安全分为很多层,区块链只能做到存储层的安全。 颗粒度问题 朔源的颗粒度问题,例如“红酒”的溯源,我们是将单位溯源做到箱呢?还是打,或是瓶呢? Hyperledger fabric) Hyperledger Fabric 积分代币上链方案 Hyperledger fabric Chaincode 开发详解 Hyperledger也能实现Token代币 食品安全溯源区块链解决方案探索
9K1501发布于 2018-03-14 - 来自专栏安恒网络空间安全讲武堂
溯源小记
溯源的思路 看对方的目的是什么,就是最终目标是做什么。然后根据自己经验 看看达到这个目标 需要进行什么操作 逆推回去。看看这些过程都会留下什么日志。 使用find指令查找限定时间范围的文件 例:查看10分钟内修改过的文件 ➜ html sudo find ./ -cmin -10 -name "*.php" ./1.php 5. 查看登录信息 1. lastlog(查看系统中所有用户最近一次的登录信息) 2. lasstb (查看用户的错误登录信息) 3. last(显示用户最近登录信息) 5.
86920发布于 2018-09-21 - 来自专栏FreeBuf
溯源复现SiteServer5疑似在野0day
比如这次深度溯源复现发现疑似在野0day也是让我学到了很多东西。 review梳理攻击过程及各部分安全设备部署的表现 review过程大致如下: ? 确认系统层面安全 首先简单确认系统用户,系统进程,计划任务等比较关键的地方没有问题。 触发可写不可执行的安全策略 这是次典型的通过实战验证了安全策略的有效性,我还是比较兴奋的,一定要记下来。 漏洞复现 每次被攻击后我们都要进行溯源,加固, 该停用的停用,该修复的修复,安全策略更是上了一波又一波,没想到这次又被传马了,一时间我还有点接受不了,毕竟加固了那么多次还出问题,有点面子挂不住,终于下决心来一起看看源码 id=17851 .NET Framework4.5链接: https://download.microsoft.com/download/E/2/1/E21644B5-2DF2-47C2-91BD-63C560427900
1.1K20发布于 2020-11-16 - 来自专栏学习之旅
【安全】记录钓鱼邮件中木马病毒的分析溯源
5、扫描一下这个IP,看看有哪些端口开了。 **安全机制**:包含安全cookie的初始化和检查,用于防止缓冲区溢出等安全问题。 3. **异常处理**:实现了异常处理机制,包括异常过滤、安全失败报告等。 4. 5. **进程和线程管理**:处理进程和线程的初始化、清理以及相关的锁机制。 - **安全机制**: - `___security_init_cookie`:初始化安全cookie,用于防止缓冲区溢出。 **安全机制的实现**:通过安全cookie和异常处理机制,增强了dll的安全性,防止常见的安全漏洞。 2.
80710编辑于 2025-04-09 - 来自专栏安全小圈
蜜罐溯源
到了今天,蜜罐技术已经成为网络安全中的一种入侵诱饵,目的是引诱黑客前来攻击,并收集黑客相关的证据和信息。 ? 随着经济的发展,国家对安全行业的高度重视。 猜测163邮箱也是该号码‘、QQ号码 支付宝溯源——转账——查找黑客信息 REG007网站: https://www.reg007.com/ 查询邮箱注册过的网站 微博找回密码链接: https:// 0x03溯源结果 结果 ? IP位于湖南长沙 163邮箱、QQ号码、微信号码 手机号 相关好友,母亲信息 他的好友:张*,刘* 人物头像 附件 ? ? ? ? ? ? ? 结束!!! 弥 天 安全实验室
1.8K30发布于 2020-08-21 - 来自专栏腾讯云安全专家服务
入侵溯源难点和云溯源体系建设
image.png 在安全行业,攻击溯源领域一直是一个强烈依赖人力和经验型的领域。 ——目的:优先保障数据安全可用性,降低数据破坏风险 (5)会话中断 ——目的:中断黑客会话,防止进一步深度渗透利用 image.png ---- 3.高效安全溯源技术解决方案,溯源工具是空白。 (3) 体系化安全溯源知识,工具建设:几乎空白 可能会有同学质疑,很多安全产品也提供此类功能呀? ——亲测过许多安全检测分析产品和工具,取证逻辑上强关联真的不准确! ---- 5.解决监控节点丢失造成的无数据可查问题 全面地发现安全问题,异构思维是核心。在云上自动化监控节点的保障下,同样需要可灵活配置的半自动化入侵排查工具。
4.4K201发布于 2021-03-16 - 来自专栏基础项目部署
centos入侵溯源
\.#(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?) \.(25[0-5]|2[0-4] [0-9]|[01]?[0-9][0-9]?)" www/html/*/*egrep 'eval|\$_POST|\$_REQUEST|\$_GET|assert' /var/www/html/*检测redis配置文件/etc/redis.conf 的安全策略 redis.conf |grep bindcat /etc/redis.conf |grep requirepasscat /etc/redis.conf |grep protected-mode五、网络设备网络安全设备如防火墙 、行为监测,安全平台如EDR平台、势态感知平台,或者旁路流量记录中查找失陷主机的南北和东西流量日志信息,找到攻击来源
59520编辑于 2024-08-19 - 来自专栏数据派THU
干货 | 陆宝华:中美网络安全标准追根溯源
中央指令由公安部开展计算机安全工作,这就是中国计算机安全工作的起始。 二、等级保护的提出与信息系统的定义 1994年,国务院出台网络安全第一个法规:《中华人民共和国计算机信息系统安全保护条例》。 2、对计算机信息系统安全进行了定义 第三条:计算机信息系统的安全保护,应当保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行 4、范围、主管单位、规定了任何组织个人,不得危害计算机信息系统的安全 第九条:计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。 客体重用,在GB17859中作为一个独立的安全功能,在橘皮书当中是安全策略当中的一个子项。 审计,在GB17859中作为一个独立的安全功能,在橘皮书当中是安全责任当中的一个子项。 强制访问控制,在GB17859中作为一个独立的安全功能,在橘皮书当中是安全策略当中的一个子项。
72830编辑于 2022-09-23 - 来自专栏腾讯云安全专家服务
从一次攻击溯源中暴露的安全问题
---- 开始溯源! XXX/XXX/XXX/logs/localhost_access_log.2021-02-28.txt image.png 5.主机安全巡检审计 漏洞信息 image.png 由主机安全扫描的结果判断 4.攻击者未攻入主机层,只是使用了远程类命令执行漏洞触发bash反弹shell,并且是以root权限 5.应用层nginx无日志记录,无法判定具体入侵漏洞种类,但结合主机安全扫描结果,大概率是由Jackson 类RCE漏洞触发bash反弹shell远程命令执行 ---- 暴露问题 1.安全漏洞未及时修复,使用组件未及时更新 2.应用层日志nginx访问日志未配置,不具备应用层日志溯源能力 3.登录密钥配置不合理 门换了,小区对业主的自身的安全风险就不完全可控。 那么安全问题怎么来的呢?
1.6K112发布于 2021-03-03 - 来自专栏只喝牛奶的杀手
事件溯源模式
事件溯源模式具有以下优点: 事件不可变,并且可使用只追加操作进行存储。 用户界面、工作流或启动事件的进程可继续,处理事件的任务可在后台运行。 事件溯源不需要直接更新数据存储中的对象,因而有助于防止并发更新造成冲突。 但是,域模型必须仍然设计为避免可能导致不一致状态的请求。 但是,事件溯源事件的级别通常非常低,可能需要生成特定的集成事件。 通过执行响应事件的数据管理任务和具体化存储事件的视图,事件溯源通常与 CQRS 模式结合。 即使事件溯源会最大程度降低数据更新冲突的可能性,应用程序仍必须能够处理由最终一致性和缺少事务引起的不一致性。 尽管这不是事件溯源的主要特点,但却是通常的实施决策。 何时使用此模式 请在以下方案中使用此模式: 要捕获数据中的意图、用途或原因。
2K40发布于 2019-09-02
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号