- 综合排序
- 最热优先
- 最新优先
- 来自专栏基础项目部署
centos入侵溯源
jndi|excute|%20|system|exec|passthru|shell_exec|popen|proc_open'三、 查看系统日志分析登陆日志继续分析登陆日志,查看失陷主机是否有其他被入侵的途径分析方式 print $9}' | sort | uniq -c | sort -nr四、扫描异常文件我们对服务器进行扫描,检测是否存在异常的文件(如webshell文件或者其他挖矿脚本文件),从文件中尝试分析服务器被入侵原因主要借助工具 ,但是通常情况下从文件中尝试分析服务器被入侵原因成功率不高,因为攻击者通常不会在文件里面留下入侵痕迹参考命令egrep 'eval|\$_POST|\$_REQUEST|\$_GET|assert' /
56220编辑于 2024-08-19 - 来自专栏腾讯云安全专家服务
入侵溯源难点和云溯源体系建设
刚看到一点点入侵痕迹往下寻找,一旦出现卡点和痕迹丢失,则不能完整证明证据链逻辑,得推翻思路再重新构思溯源方向,耗时耗力。 个人认为,能成为一个出色的入侵溯源白帽子的技术广度和深度的积累,是比成为一个入侵者要更难和更具挑战的! 就好像高考AB卷,A卷是攻击,B卷是防守。 入侵者只要会做A卷,而白帽子是AB卷都要会做。 入侵溯源工具能力局限的本质问题: 基于某一层入侵元素做为起始点的入侵行为分析逻辑都有被灵活多变的渗透测试技巧跳脱的机会,因为攻击动作是动态多向的,溯源工具是静态单向的。 image.png ---- 4.入侵溯源监控体系如何建设呢? 云上入侵溯源体系建设,入侵溯源体系产品化实现已成重要趋势。
4.4K201发布于 2021-03-16 - 来自专栏宸机笔记
入侵溯源之总体概括
https://github.com/JeffXue/web-log-parser
68510发布于 2020-11-04 - 来自专栏ly0n
浅谈入侵溯源学习
看了一位大师傅的博客,然后自己又学了点其他的记录下 大师傅博客:https://oneda1sy.gitee.io/ 文章地址:https://oneda1sy.gitee.io/2020/05/13/qzsy-1/ 溯源思路 可以根据这些信息确定网站别入侵的时间,然后写脚本将重要信息提取出来。 diff源码 查找文件被修改的地方,记录被修改的代码信息。可以根据文件的修改信息来进一步分析。 查看文件时间排序 可以根据文件的排序迅速找到被攻击者修改的文件,从而找到入侵时间。 ?
58220发布于 2020-11-04 - 来自专栏红蓝对抗
攻防|记两次内网入侵溯源
1.1、入侵告警 1、某天深夜主机防护突然爆出CS木马后门,这攻击队不讲武德呀,还好没睡着 2、赶紧叫醒旁边看流量设备的哥们儿,尝试Shiro 反序列漏洞攻击成功 3、测试目标网站存在shiro反序列化漏洞 可以看到攻击者以及将木马文件修改了名称与时间,企图伪装在正常文件中 排查发现反弹shell,IP与CS外联地址一致 攻击者还下载了fscan扫描器,进行了扫描,IP与CS外联地址一致 fscan扫描结果 1.3、溯源 XX厂商 XXX邀请攻击者加入了群聊 1.4、总结 2.1、排查 1、在某次攻防演练中,笔前往客户现场进行内网入侵排查处置溯源工作。到达现场后,笔者惊讶地发现,客户唯一的安全设备是一台防火墙。 KSA.dat(看雪安全接入)是一款傻瓜式的一键接入私有网络的工具 在KSA.log找到了更多的攻击者服务器地址,其中有个XXX.XX.XXX.87 2.2、溯源 1、对XXX.XX.XXX.87 2.3、总结 本次于应急的难点在于客户那边没有除了防火墙外的安全设备,寻找入口点消耗了大量时间,只能一个个看日志文件,找到入口点锁定了受害主机后寻找入侵痕迹,从反代软件的日志中找到了外联服务器IP,从IP
70330编辑于 2023-10-09 - 来自专栏红蓝对抗
攻防|记两次内网入侵溯源
1.1、入侵告警1、某天深夜主机防护突然爆出CS木马后门,这攻击队不讲武德呀,还好没睡着2、赶紧叫醒旁边看流量设备的哥们儿,尝试Shiro 反序列漏洞攻击成功3、测试目标网站存在shiro反序列化漏洞1.2 木马可以看到攻击者以及将木马文件修改了名称与时间,企图伪装在正常文件中排查发现反弹shell,IP与CS外联地址一致攻击者还下载了fscan扫描器,进行了扫描,IP与CS外联地址一致fscan扫描结果1.3、溯源 XX厂商 XXX邀请攻击者加入了群聊1.4、总结2.1、排查1、在某次攻防演练中,笔前往客户现场进行内网入侵排查处置溯源工作。到达现场后,笔者惊讶地发现,客户唯一的安全设备是一台防火墙。 KSA.dat(看雪安全接入)是一款傻瓜式的一键接入私有网络的工具在KSA.log找到了更多的攻击者服务器地址,其中有个XXX.XX.XXX.872.2、溯源1、对XXX.XX.XXX.87进行域名反查 2.3、总结本次于应急的难点在于客户那边没有除了防火墙外的安全设备,寻找入口点消耗了大量时间,只能一个个看日志文件,找到入口点锁定了受害主机后寻找入侵痕迹,从反代软件的日志中找到了外联服务器IP,从IP
60920编辑于 2023-10-27 - 来自专栏FreeBuf
phpStudy远程RCE漏洞复现以及沦陷主机入侵溯源分析
phpstudy远程RCE后门复现图文教程 3.phpstudy远程RCE后门复现教视频程 3.Python编写复现脚本 4.Python编写批量复现脚本 5.针对部署phpstudy环境服务器已沦陷的主机进行溯源分析 /黑客入侵画像 6.修复建议 7.参考 准备工具: VMware Workstation Pro Windows7的/ 2008R2 BurpSuiteFree phpStudy20161103 (5)Python脚本复现Phpstudy 2016/2018远程RCE漏洞效果: 四、针对部署phpstudy环境服务器已被入侵的主机进行溯源分析: (1)我在进行随机检测phpstudy的时候已经发现了部分感染主机被黑帽 五、针对部署phpstudy环境服务器已沦陷的主机进行溯源分析/黑客入侵画像 (1)我们现在已经拿到了那些黑客的的webshell一句话后门文件现在就要开始溯源黑客的IP地址,emmmmm,由于我不能直接登录受感染的主机查看访问日志文件 )模拟黑客访问webshell前 (6)模拟黑客访问websell后 (7)然后本地或者VPS上定时访问请求log.html把最新的访问信息通过Email邮件的方式发送给执法机关/溯源工程师
2K10发布于 2019-10-22 网络入侵防护哪家强?攻击溯源取证功能深度对比与推荐
那么,当前主流的网络入侵防护产品中,哪些提供了强大的攻击溯源取证功能呢? 云安全中心 阿里云 提供自动化攻击溯源功能,整合多云产品日志,通过大数据分析生成可视化入侵链路图,并支持原始数据预览,帮助定位入侵原因。 SaaS服务 主要针对云上主机、Web应用等场景的入侵事件溯源。 综合推荐:腾讯云网络入侵防护体系 在深入对比后,对于寻求一体化、高可靠攻击溯源取证能力的企业,我们重点推荐腾讯云网络入侵防护体系,它通过“天幕”(NIPS)与“御界”(NDR)的协同,构建了覆盖事前、事中 结语 选择具备强大攻击溯源取证功能的网络入侵防护产品,是企业构建主动安全防御体系、提升安全运营效率的关键一步。
22210编辑于 2026-03-05- 来自专栏FreeBuf
浅谈入侵溯源过程中的一些常见姿势
0x1 主体思路 溯源的过程当中的时候除开相关的技术手段之外,首先还是需要确认一个整体的思路。 可以重点看一下还剩下那些日志、或者关注一下网络层面是不是还有其他的安全设备可以在流量层进行溯源分析的。 源于Linux一切皆文件与开源的特性,在溯源的过程中也有好处也有坏处,rootkit就是最麻烦的一件事情了。 Windows平台下面的溯源就相对容易一些当然主要还是依靠windows的日志一般用 eventvwr命令打开事件查看器。 默认分为三类:l应用程序、安全、性统 以evt文件形式存储%systemroot%\system32\config目录: 合理使用筛选器往往可以帮助我们更好的排查日志,比如怀疑是暴力破解入侵的筛选事件
2K40发布于 2019-05-15 如何通过日志分析快速溯源入侵行为?腾讯云CLS实战指南
如何在海量日志中快速定位攻击痕迹、还原入侵路径,成为网络安全防护的关键。腾讯云日志服务(CLS)凭借其强大的日志分析与处理能力,为企业提供了一套完整的入侵溯源解决方案。 摘要 本文将从日志分析在入侵检测中的核心作用出发,结合腾讯云CLS的功能特性,分步骤解析如何通过日志采集、实时检索、智能分析等技术手段,快速定位入侵行为。 通过分析日志,可实现: 事前预警:识别异常流量模式,提前发现潜在风险; 事中检测:实时拦截攻击行为,降低损失; 事后溯源:通过日志回溯攻击路径,完善防御体系。 三、实战演练:如何用腾讯云CLS溯源入侵行为? 立即访问https://cloud.tencent.com/product/cls,开启您的安全溯源之旅!
40010编辑于 2025-10-10- 来自专栏云鼎实验室的专栏
事件分析 | 一键安装藏隐患,phpStudy 批量入侵的分析与溯源
云鼎实验室对该事件进行跟踪分析,还原了攻击者的入侵手法、入侵后的操作。 一、入侵手法分析 通过对所有被入侵并添加“vusr_dx$”隐藏帐号的主机进行分析统计,发现大多数主机都安装了 phpStudy 组件,Web 目录存在 phpinfo 和 phpMyAdmin,且 这两种手法攻击者都有可能使用,由于攻击者是大批量、持续不断的进行入侵操作,可以推断出攻击者必然是使用了脚本来进行攻击的。 ? 图 1. 挖矿进程 二、入侵溯源 黑客在创建了隐藏帐号之后会通过隐藏帐号登录并植入挖矿程序,通过腾讯云云镜捕获的“vusr_dx$”帐号异常登录行为进行来源 IP 归类统计,得到将近60个 IP 地址,包含除了来自于不同 相关能力通过腾讯云开放出来,为用户提供黑客入侵检测和漏洞风险预警等服务,帮助企业解决服务器安全问题。 ?
1.7K20发布于 2018-10-25 - 来自专栏信安之路
由小小姐炫耀引起的一次钓鱼网站入侵并溯源
本文作者:drivertom 原文地址:http://drivertom.blogspot.com/2019/03/blog-post_16.html 本文所写的内容基本真实,但有些渗透溯源的过程为了描述的精简被修改删除 当晚我正好闲着没事,就决定小小地得罪一下这个钓鱼网站,故事就这样开始了 0x02 入侵 首先是基础的信息搜集,但是当我查询 whois 和微步在线之后却没有任何结果,显示的是这些注册信息被保护了,毫无结果 0x02 第一次不正经溯源 是时候把钓鱼者的IP弄出来了! 想想钓鱼者会怎么访问?当然是访问后台了! 0x04 第二次正经的溯源 在拿到服务器权限后,我用 mimikatz 拿到了管理员明文密码 ? 0x05 使用了 0day 的不完全溯源 后来某一天课上完的时候,我问了老师业界大牛Dr,大牛告诉我可以挖下讯边缘业务的 JSONP 漏洞来泄漏攻击者的 QQ。
4.3K52发布于 2019-04-09 - 来自专栏公共互联网反网络钓鱼(APCN)
执法机构钓鱼攻击溯源与防御体系研究 —— 以荷兰警方入侵事件为例
荷兰警方未公开攻击组织身份与具体入侵途径,仅表示后续调查持续进行。 5 执法机构钓鱼入侵应急响应与溯源机制以荷兰警方事件处置流程为基础,设计标准化四阶段应急响应体系,确保快速止损、最小化影响、完整溯源。 荷兰警方已启动刑事调查,重点围绕攻击基础设施与攻击组织溯源。 5.5 溯源关键技术要点邮件溯源:通过邮件头、返回路径、域名注册信息定位投递渠道;流量溯源:分析 IP 归属、ASN、服务器位置、历史关联事件;诱饵溯源:对比模板、话术、代码特征,匹配已知攻击组织;跨境协同 反网络钓鱼技术专家芦笛强调,执法机构钓鱼入侵溯源不仅是技术任务,更是执法取证过程,必须严格遵循证据固定、链完整、可呈堂标准。
5510编辑于 2026-03-28 - 来自专栏安恒网络空间安全讲武堂
溯源小记
溯源的思路 看对方的目的是什么,就是最终目标是做什么。然后根据自己经验 看看达到这个目标 需要进行什么操作 逆推回去。看看这些过程都会留下什么日志。
85920发布于 2018-09-21 - 来自专栏安全小圈
蜜罐溯源
到了今天,蜜罐技术已经成为网络安全中的一种入侵诱饵,目的是引诱黑客前来攻击,并收集黑客相关的证据和信息。 ? 随着经济的发展,国家对安全行业的高度重视。 黑客 —— 蜜罐 ,为了防止黑客的入侵,企业增加了自己的防护手段,使用蜜罐的产品来混淆黑客视野,从而保证真实的业务系统能够正常工作。 主要是对抓到的信息进行分析从而获得黑客信息。 ? 猜测163邮箱也是该号码‘、QQ号码 支付宝溯源——转账——查找黑客信息 REG007网站: https://www.reg007.com/ 查询邮箱注册过的网站 微博找回密码链接: https:// 0x03溯源结果 结果 ? IP位于湖南长沙 163邮箱、QQ号码、微信号码 手机号 相关好友,母亲信息 他的好友:张*,刘* 人物头像 附件 ? ? ? ? ? ? ? 结束!!!
1.8K30发布于 2020-08-21 - 来自专栏只喝牛奶的杀手
事件溯源模式
事件溯源模式具有以下优点: 事件不可变,并且可使用只追加操作进行存储。 用户界面、工作流或启动事件的进程可继续,处理事件的任务可在后台运行。 事件溯源不需要直接更新数据存储中的对象,因而有助于防止并发更新造成冲突。 但是,域模型必须仍然设计为避免可能导致不一致状态的请求。 但是,事件溯源事件的级别通常非常低,可能需要生成特定的集成事件。 通过执行响应事件的数据管理任务和具体化存储事件的视图,事件溯源通常与 CQRS 模式结合。 即使事件溯源会最大程度降低数据更新冲突的可能性,应用程序仍必须能够处理由最终一致性和缺少事务引起的不一致性。 尽管这不是事件溯源的主要特点,但却是通常的实施决策。 何时使用此模式 请在以下方案中使用此模式: 要捕获数据中的意图、用途或原因。
1.9K40发布于 2019-09-02 - 来自专栏网络技术联盟站
如何配置攻击溯源?
攻击溯源通过对上送CPU的报文进行采样分析,如果报文速率(pps)超过设置的阈值,则认为是攻击报文。 对攻击报文进行分析,可以找到攻击源的IP地址、MAC地址、接口和VLAN。 auto-defend attack-source命令查看 攻击源惩罚 将攻击报文进行丢弃 将攻击报文进入的接口shutdown (谨慎使用) 其他(配置流策略或者黑名单) 配置思路 创建防攻击策略 配置攻击溯源 (采样比、检查阈值、溯源模式、防范的报文类型、白名单、告警功能、惩罚措施) 应用防攻击策略 操作步骤 <HUAWEI> system-view //进入系统视图 [HUAWEI] cpu-defend 10 //配置攻击溯源采样比 [HUAWEI-cpu-defend-policy-test] auto-defend alarm enable //使能攻击溯源告警功能 ] auto-defend action deny //配置攻击溯源的惩罚措施 [HUAWEI-cpu-defend-policy-test] quit //返回系统视图 [
1.4K10发布于 2019-11-29 - 来自专栏Cyber Security
【溯源反制】CDN&域前置&云函数-流量分析|溯源
CDN隐藏C2地址 使用CDN内容分发网络的多节点分布式技术,通过“加速、代理、缓存”隐藏在后面的静态文件或服务;最终实现对外暴露的是CDN多节点的公网域名IP,很难甚至无法溯源真实后端服务器的域名或IP 对外还是可以看到连接域名(下一步就是找到CDN后的真实IP),域名会暴露 子域名、IP历史记录解析查询、网站订阅邮件、网站订阅邮件、国外超级ping、https证书…… 如果使用国内CDN服务,域名必须ICP备案(被溯源的可能性就会更大 关键是使用一个不备案的域名,否则这个方式毫无用处 2、受控主机还是通过我们自己的域名进行回连,对外还是能看到连接域名;且如果使用国内CDN的服务(增加了风险),域名就必须完成ICP备案(增加了风险);而且还有一些方法可能溯源到真实 ,可以联系腾讯云客服配合调查 优点:本方案使用高信誉域名进行连接,通常安全设备很难检测,也很难封堵; 总结 1、不备案的域名+禁用不必要的域名解析记录(防止被溯源收集到更多信息) 2、使用HTTPS通讯 3、C2服务器混淆基础特征-修改profile配置文件,修改ssl证书 4、CS服务端防火墙做策略,仅允许目标主机网段连接,防止其他网段主机对其进行扫描,防溯源 5、加跳板、代理等,当然最重要的是免杀了
1.8K10编辑于 2024-07-18 - 来自专栏绿盟科技研究通讯
攻击溯源-手把手教你利用SPADE搭建终端溯源系统
终端溯源背景介绍 攻击溯源图是描述攻击者攻击行为相关的上下文信息,利用攻击溯源信息来挖掘攻击相关的线索是当前研究的热点。 ,来实现攻击溯源。 SPADE工具简介 SPADE是一个开源的系统,可以实现溯源数据的推理、存储与查询功能。该系统是一种跨平台的溯源系统,可以应用到区块链、在线社交网络与APT溯源调查中。 SPADE可以看成一个分布式的溯源调查工具,以溯源图的形式组织系统日志,溯源攻击过程。该工具支持多种操作系统。SPADE系统支持多种应用,本文只专注其在溯源调查上的应用。 从数据中提取有效的实体关推断实体之间的关系,构建有效的溯源图。同时也支持按用户自定义的模式构建溯源图。
3.1K20编辑于 2023-02-22 - 来自专栏BennuCTech
Android事件分发溯源详解
前两天华仔给我出了一道难题,我们俩研究了小半天,借着这个契机正好回顾了一下Android事件分发的相关知识点,于是有了这篇文章。
88020编辑于 2021-12-10
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号