- 综合排序
- 最热优先
- 最新优先
- 来自专栏应急响应
Windows应急响应
2024年7月25日10点25分,用户反馈出现失陷主机异常,2024年7月26日10点30分,用户反馈蛀虫占用CPU过高,运行异常
83210编辑于 2024-08-13 - 来自专栏坐看云起时
windows应急响应
Windows的应急 学习过程中看到师傅文章,所以顺便做了个思维导图 师傅太强了 原文链接已放文末。 常见的应急响应事件分类。 2、检查计划任务 3、服务自启动 1.4 检查系统相关信息 1、查看系统版本以及补丁信息 检查方法:Win+R打开运行窗口,输入systeminfo,查看系统信息 2、查找可疑目录及文件 查看用户目录,新建账号会在这个目录生成一个用户目录 Windows Server 2003 : C:\Documents and Settings Windows Server 2008R2 Windows推荐使用EmEditor进行日志分析;Linux推荐使用shell命令组合查询分析 常见日志存放路径 1、apache服务器 Windows : <Apache安装目录> \logs\access.log Linux :/usr/local/apache/logs/access.log 若不存在,参考Apache配置文件httpd.conf中相关配置 2、tomcat服务器
2.4K30编辑于 2023-05-09 - 来自专栏红蓝对抗
Windows应急响应
web入侵:Webshell,网页挂马,主页篡改系统入侵:病毒木马,远控后门,勒索软件网络攻击:ARP欺骗,DDOS攻击,DNS劫持针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 但是,在一次被入侵成功的安全事件,我们肯定需要一系列分析溯源,尽可能把整个事件还原,还需要出个应急响应报告的。 入侵排查思路 检查系统账号安全 检查异常端口、进程 检查启动项、计划任务、服务 检查系统相关信息 杀软查杀 日志分析 处置流程: 准备阶段:获取整个事件的信息(比如发生时间,出现啥异常等),准备应急响应相关工具 防范:1、安装安全软件并升级病毒库,定期全盘扫描,保持实时防护2、及时更新 Windows安全补丁,开启防火墙临时关闭端口3、及时更新web漏洞补丁,升级web组件 勒索 勒索软件是一种来自密码病毒学的恶意软件 为了防范这样的事情出现,我们电脑上要先做好一些措施: 1、安装杀毒软件,保持监控开启,定期全盘扫描 2、及时更新 Windows安全补丁,开启防火墙临时关闭端口,如445、135、137、138、139
2.6K21编辑于 2022-06-30 - 来自专栏世荣的博客
Windows应急响应Day2:蠕虫病毒
应急场景 某天早上:管理员在出口防火墙发现内网服务器不断向外境IP发起主动连接,内网环境无法连通外网。 事件分析 在出口防火墙看到的服务器内网IP。 通过端口异常,跟踪进程ID,可以找到该异常由svchost.exe windows服务主进程引起,svchost.exe向大量远程IP的445端口发送请求。 2.确认异常:使用多引擎在线病毒对该文件扫描,确认服务器感染conficker蠕虫病毒。 3.病毒处理:使用conficker蠕虫专杀工具对服务器进行清查,成功清除病毒。 2.定期对windows系统漏洞进行修复,不给病毒可乘之机。
1.4K20编辑于 2022-03-21 - 来自专栏FreeBuf
说说Windows安全应急响应
在互联网高速发展的时代,我们应该如何保护个人信息不被窃取、不被不法分子当作利益的筹码,当我们遇到入侵事件的时候,我们应该怎么办,第一步怎么办,怎么推进排查过程、是否有应急预案等,这都是我们需要了解的。 说了这么多下面小白浅谈一下应急响应,我们看一下windows应急处理。 Windows安全应急处置 攻击者入侵一个网站必然会对企业的业务系统造成不同程度的损害,即使入侵不成功,也会使业务系统访问缓慢,即使在网络良好的情况下。 下面我们可以从以下几个方面进行排查windows主机。 1) 是否有异常进程、用户 2) 敏感端口开放情况 3) 密码强度 4) 日志分析 5)异常启动项、服务、计划任务 6) 注册表信息 7) 其它 进程信息 我们输入tasklis或者打开任务管理器查看进程信息
3.6K20发布于 2019-08-26 - 来自专栏网络安全攻防
【应急响应】应急响应靶机训练-Web2
Workstation打开: 账号密码: 用户:administrator 密码:Zgsf@admin.com 靶场题目 运行桌面的"解题"程序后会出现如下界面: 题目内容如下: 1.攻击者的shell密码 2. pyc反编译工具(https://tool.lu/pyc/)得到源码,从下面我们可以得到矿池的地址——http://wakuang.zhigongshanfang.top 文末小结 本篇文章通过这一个应急靶机我们学到的知识主要有通过
1.3K10编辑于 2025-01-07 - 来自专栏黑客编程
Windows应急响应-异常资源
原文:助安社区-应急响应实战指南 http://security-incident-respons.secself.com端口检查端口连接情况,是否有远程连接、可疑连接。 查看进程对应的程序位置:任务管理器 -- 选择对应进程 -- 右键打开文件位置运行输入 wmic,cmd 界面输入 `process`tasklist /svc 进程 -- PID -- 服务查看Windows 服务所对应的端口:%systemroot%/system32/drivers/etc/services(一般 %systemroot% 就是 C:\Windows 路径)图片图片
75010编辑于 2023-04-21 - 来自专栏渗透云笔记
应急响应之Windows、Linux
Windows下系统应急: 首先 断网~ 一、检测阶段 1. 备份Web页面 ? 2. 查找隐藏账户 ? 3. 查找可疑进程 ? ? ? 4. 查杀Webshell ? 5. 2.删除非法添加的账户 ? 3.关闭异常进程 ? 4.删除后门文件 ? ? ? 5.根除阶段 (1)修改服务器超级管理员账户密码 (2)修改网站后台管理员账户密码 (3)修复漏洞 (4)更改后台地址 6.接入网络恢复访问 Linux下系统应急: 首先 断网~ 一、 检测阶段 1. (2)find ./ -ctime -1 -name “*.php” 查找一天内修改过的php文件 ? 8. 2.更改网站后台账户密码 3.修复漏洞 4.更改网站后台地址 5.重新接入网络
1.5K10发布于 2019-12-17 - 来自专栏Bypass
【应急响应】windows入侵排查思路
常见的应急响应事件分类: web入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门 网络攻击:DDOS攻击、DNS劫持、ARP欺骗 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法 2、查看服务器是否存在可疑账号、新增账号。 b、导出Windows日志--安全,利用Log Parser进行分析。 ? 二、检查异常端口、进程 1、检查端口连接情况,是否有远程连接、可疑连接。 2、webshell查杀 检查方法:选择具体站点路径进行webshell查杀,建议使用两款webshell查杀工具同时查杀,可相互补充规则库的不足。 更新病毒库) 火绒安全软件:https://www.huorong.cn 360杀毒:http://sd.360.cn/download_center.html 病毒动态: CVERC-国家计算机病毒应急处理中心
3.1K30发布于 2019-07-08 - 来自专栏FreeBuf
应急响应处置流程Windows篇
文档在自己的文件夹静静的躺了快半年了,好吧,先把应急响应流程步骤(乙方视角)和windows拆出来,在进行应急响应事件处置时需严格遵守公司的应急响应制度。 在确认安全事件后明确应急目的: 病毒、后门清除工作 协助业务系统安全的恢复上线 攻击溯源工作。 通常会存在以下工作内容:病毒分析处置、业务恢复、安全加固、溯源分析、临时需求处置、产品对接与使用、应急指挥与协调。 二、技术部分 1. 如“永恒之蓝”、弱口令 2. 系统漏洞间接造成的入侵事件。如WebShell后,本地提权。 3. 应用漏洞直接或间接造成的入侵事件。 如Struts 2远程命令执行、WebLogic弱口令或远程代码执行、IIS PUT上传漏洞、FTP弱口令或溢出攻击等。
1.7K41发布于 2019-06-03 - 来自专栏Timeline Sec
HW防守 | Windows应急响应基础
常见的应急响应事件分类: web入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门 网络攻击:DDOS攻击、DNS劫持、ARP欺骗 入侵排查思路 web入侵:对中间价日志进行分析 主机的会话 4779:断开到一台 Windows 主机的会话 ? 2、查看服务器是否存在可疑账号、新增账号。 b、导出Windows日志--安全,利用Log Parser进行分析。 %systemroot%\System32\drivers\etc\hosts Window 2003 C:\Documents and Settings Window 2008R2 C:\Users\
1.6K40发布于 2020-06-04 - 来自专栏一己之见安全团队
应急响应篇——Windows进程排查
Windows的进程排查比较复杂,所以放在前面来先讲。 我环境出了点问题,本来想拿c2套个壳来调用别的进程进行隐藏的,但逻辑差不多,可以看到 配合cmd命令 : tasklist /m 分析dll调用,排查免杀、dll劫持这种情况,主体的一个逻辑就是查看是否有可疑文件调用了 windows敏感进程(cmd这种肯定不用说了,注意排查一些敏感路径下的调用,system32这种)列出windows敏感路径供大家参考: C:\Windows\system.ini C:\windows &request_id=171747152216800225583680&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~ ctsvccda.exe Wuauclt.exe cvpnd.exe wuaudt.exe ddhelp.exe WUCrtUpd.exe dfssvc.exe 1xconfig.exe dllhost.exe 3dm2.
1.1K10编辑于 2024-06-05 - 来自专栏Ms08067安全实验室
GetInfo windows应急响应信息采集工具
GetInfo介绍 快速收集 Windows 相关信息,为应急响应争取更多的时间 Windows Emergency Response (应急响应信息采集) Windows information
1.4K40编辑于 2022-09-26 - 来自专栏漫流砂
服务隐藏与排查 | Windows 应急响应
CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)" 0x04 测试隐藏效果 1. services.msc 2. XblGameSave" 可以看到,常规检查的时候,无法直接看到 XblGameSave 通过 sc query 指定名称查找显示的是 拒绝访问 通过 sc qc 指定名称查找能够显示出正常内容 如果常规方式看不到,应急响应人员也无法知晓该活动的名称 } $maliciousServices = foreach ($service in $services) { $queryOutput = sc.exe query $service 2> 注意,这里指定的文件类型是 exe-service ,MSF 专门为服务准备的一类木马,中文资料上提到这个事极少 2. Windows API 如果 Windows API 呢 #include <iostream> #include <windows.h> #include <winsvc.h> int main()
1.2K10编辑于 2024-01-19 - 来自专栏漫流砂
常规安全检查阶段 | Windows 应急响应
命令行常规情况下是不区分大小写的,因此大小写都可以 0x00 杀毒软件 如果应急响应过程中允许,使用杀毒程序进行全盘杀毒肯定非常有帮助的,目前很多企业都有自己的终端管控程序,其中部分自带病毒库和杀毒功能 隐藏计划任务排查 如果上面的方法你都找不到计划任务,可以参考我们的文章 《计划任务的攻防战 | Window 应急响应》 https://mp.weixin.qq.com/s/y9_9P6ggxGMrdGMFT-I34A 需要安装,然后设置编写查询命令,也并不适用很多应急场景。 32"="WS2_32.dll" 应急响应过程中可以看看是否有缺少的 0x19 WMI 排查 WMI 主要是创建 WMI 事件订阅实现持续控制,通常事件订阅是临时性的,会话结束后就会停止,WMI永久事件订阅 事件订阅效果都会立即消失 所以 Autoruns 删除消费者是有效的,而且是一种相对合理的方式,因为如何直接将三者均删掉,可能过滤器和绑定原本就是运维人员需要的,只是消费者被篡改了,这样可以保护过滤器和绑定 所以应急响应过程中
3.3K10编辑于 2024-02-05 - 来自专栏FreeBuf
应急响应之windows入侵排查篇
应急响应(Incident Response Service,IRS)是当企业系统遭受病毒传播、网络攻击、黑客入侵等安全事件导致信息业务中断、系统宕机、网络瘫痪,数据丢失、企业声誉受损,并对组织和业务运行产生直接或间接的负面影响时 检查方法2: 1、在桌面打开运行(可使用快捷键 win+R),输入 cmd 打开命令行窗口 2、检查计算机与网络上的其它计算机之间的会话或计划任务,如有,则确认是否为正常连接,其中计划任务在windows7 (一)查看系统版本以及补丁信息 检查方法: 1、在桌面打开运行(可使用快捷键 win+R)输入 systeminfo 2、查看系统信息和补丁状态 3、将内容导入文本,利用 windows-exploit-suggester 这块具体会在之后的日志分析篇提到 (一)系统日志 分析方法: 1、在桌面打开运行(可使用快捷键 win+R),输入 eventvwr.msc 2、找到事件查看器,查看windows日志(包括应用程序、安全 0x03 总结 我们在做应急响应时还是需要多从攻击者的角度去思考问题,知己知彼方能百战不殆,那么针对windows系统的入侵排查就介绍到这里,欢迎各位大佬在评论区留言。
2.7K31发布于 2021-09-16 - 来自专栏漫流砂
ICMPDNS 隧道处置方法 | Windows 应急响应
它是之前Windows平台上的网络抓包工具Network Monitor的后续产品,功能更为强大和全面。 learn.microsoft.com/en-us/openspecs/blog/ms-winintbloglp/dd98b93c-0a75-4eb0-b92e-e760c502394f 下载后安装使用 2. 自带的工具 netsh 来帮助我们找出 Windows 上的 icmp 隧道 2. icmp_capture.etl 此时开启抓包,配合流量设备,我们觉得抓到了相关数据包后,停止抓包 netsh trace stop 我们需要将 .etl 格式的包转化为 Wireshark 能够解析的包,这需要 etl2pcapng.exe https://github.com/microsoft/etl2pcapng 命令非常简单 etl2pcapng.exe in.etl out.pcapng 4.
1K10编辑于 2024-07-01 - 来自专栏红队蓝军
应急响应--windows入侵检查思路及流程
什么时候做应急响应 服务器被入侵,业务出现蠕虫事件,用户以及公司员工被钓鱼攻击,业务被 DDoS 攻击,核心业务出现DNS、链路劫持攻击等等 如何做应急响应 确定攻击时间 查找攻击线索 梳理攻击流程 实施解决方案 定位攻击者 常见应急响应事件分类 web入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门、系统异常、RDP爆破、SSH爆破、主机漏洞、数据库入侵等 网络攻击:DDOS 方法: 1、 打开cmd,输入"eventvwr.msc",回车运行,打开“事件查看器” 2、 导出 Windows 日志 – 安全 3、 用微软官方工具 Log Parser 进行分析 下载地址:https id=24659 2、检查端口、进程 检查异常端口 是否有远程连接,可疑连接 1、netstat -ano 查看目前的网络连接, 2、定位可疑的ESTABLISHED:netstat -ano | 4727,4737,4739,4762 表示当用户组发生添加、删除时或组内添加成员时生成该事件 设置Setup 1,2,3,4,用来查看windows系统更新的记录,事件ID前后顺序为“已挂起、已安装
1.4K11编辑于 2024-08-01 - 来自专栏世荣的博客
Windows应急响应Day3:勒索病毒
应急场景 某天早上,管理员打开OA系统,首页异常,显示乱码: image.png 事件分析 登录网站服务器进行排查,在站点目录下面发现所有脚本文件及附件都被加密为.sage结尾的文件,每个文件夹下面都有一个
48120编辑于 2022-03-21 - 来自专栏安全小圈
应急响应篇_windows端口与进程排查
netstat -ano | findstr “ESTABLISHED” 获取正在链接的IP地址和进程信息
69020发布于 2020-05-26
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号