- 综合排序
- 最热优先
- 最新优先
- 来自专栏FreeBuf
应急响应日志分析小脚本
一、概述 在系统被入侵后,要想了解下系统被入侵的过程,最好的途径大概就是通过查看日志,对日志进行分析,来还原整个过程的来龙去脉。 所以就想着能不能利用脚本去完成一些常规的排查过程,来辅助完成日志分析工作。 二、功能简述 2.1、根据关键字进行搜索 (1)目的:尝试通过在日志中搜索后门名称、时间等关键字,更快找到有用信息。 2.2、Ip、url分析 (1)目的:提取日志中所有的ip地址,并对ip归属地进行查询,并对出现次数做统计;根据日志 分析url访问情况,记录访问路径、访问次数,并将结果保存到tongji.xsl表格中 IP地址统计表 三、有待改进 1、脚本思路多数来自平常的项目积累,所以想法过于单一,在今后遇到不同的情况会在继续完善; 2、很多时候即使是筛选出来后还是更多的靠人为去分析,脚本只是辅助工具,所以存在不够通用的问题 ; 3、ip地址在查询中由于查询接口原因,会存在查询失败情况; 4、当日志格式为自定义情况下,需要根据定义格式在自行修改脚本中分割日志的格式; 四、最后 现成的日志分析工具,网上大牛已经分享了很多,如elk
86420发布于 2020-02-12 - 来自专栏一己之见安全团队
应急响应篇——恶意文件分析
恶意文件分析在应急响应中也是十分重要的一环,up把恶意文件分析分为两个大类来讲。 因为up前段应急碰到了土豆家族,这里拿烂土豆来举个例子吧。 简单明了,土豆提权,主要的作用就是拿来提权的,各种形状等网络上搜得到的,不用太担心。 包括webshell也是一样的分析方法,webshell还需要分析的最多就是冰蝎和哥斯拉,可能做了二开,去特征、免杀,本质作用没变。 正常来讲就两类工具,探测类和利用类,一般了不起传个做过二开免杀的fscan、nmap来扫一下网段,或者mimikatz抓取哈希、制作令牌权限维持或者执行提权等,由于时间差,在发现攻击行为后及时进行应急响应 毕竟也要与时俱进,很多培训课程可能更倾向于让大家从头排查到尾一点不落,当然,时间充足的情况下当然是越细致越好,但就实际情况来看应急本来就是很紧急且仓促的一件事情,对恶意文件的分析是较为后面的事情了,紧急处理完
96010编辑于 2024-06-17 - 来自专栏FreeBuf
应急响应之远程软件日志分析
概述 日常运营分析过程中,很少对远控软件日志进行分析,如向日葵、Todesk,关于这两款软件在日常运营分析过程中,最常和这两款软件有关的,可能是违规软件使用告警,多数情况下内网禁止使用此类软件。 恰好最近做过一次简单的向日葵日志分析,本文将对两款常见软件日志进行分析。 v4.7日志分析 v4.7版本中的日志目录下并没有以client为首的日志文件,因此我们直接对server日志进行分析。 V 13.3 日志分析 本机远控其他主机: 由于日常中使用向日葵的机会较少,所以直接对向日葵最新版本的日志进行分析。 控制端日志分析: 上图分别是本机控制端日志和被控端日志文件目录结构。 总结 在日常分析过程中,可结合上述特征进行分析定位异常。同时要注意各个版本之间的日志变化情况。日志格式并不是一成不变的。也可以通过模拟各种常见场景,提取行为特征。
3.6K40编辑于 2023-08-08 - 来自专栏网络安全攻防
【应急响应】应急响应靶机训练-Web2
盾对WEB目录进行查杀: 随后定位到webshell,打开文件即可获取到webshell的链接密码——rebeyond 第二问答 靶机的第二个问题是"攻击者的IP地址",关于这一点我们需要通过日志进行分析 pyc反编译工具(https://tool.lu/pyc/)得到源码,从下面我们可以得到矿池的地址——http://wakuang.zhigongshanfang.top 文末小结 本篇文章通过这一个应急靶机我们学到的知识主要有通过
1.3K10编辑于 2025-01-07 - 来自专栏Khan安全团队
应急响应脚本
Windows 事件日志进行搜索的更好方法的解决方案。使用 Out-GridView,但如果需要,您可以使用 -raw 并导出到 csv/xls。也有原始搜索功能。
1.6K40发布于 2021-09-18 - 来自专栏应急响应
Windows应急响应
分析报告攻击时段2024年7月25日10点25分;2024年7月26日10点30分攻击影响2024年7月25日10点25分,用户反馈出现失陷主机异常,2024年7月26日10点30分,用户反馈蛀虫占用CPU 过高,运行异常分析步骤在任务管理器发现CPU占用内存过高的进程,进程软件是pythow.exe接着使用PowerTool工具查看进程管理的进程路径的脚本,进程路径是C:\sys\bin\miner.py pssuspend64使用cmd中进行暂停恶意进程查看计划任务,发现没有任何异常的操作行为查看启动项PowerTool,并没有发现任意异常计划任务和开启自启动检查完毕后,删除恶意文件,最后关闭恶意进程分析结论通过排查日志信息
82910编辑于 2024-08-13 - 来自专栏应急响应
linux应急响应
客户名称:Linux应急响应报告时间:2024年-07月-25日报告类型: 分析报告 分析报告**攻击时段:**2024年07月25日15时30分**攻击影响:** 2024年07月25日15时30分, 监控到某客户的IP地址为:192.168.239.130的机器异常启动**分析过程:**查看命令是否存在异常,然后发现存在.sh文件有异常查看hide.sh文件的一些异常脚本文件,发现到有存在的异常守护进程路径去检查动态库的劫持是否有异常 使恶意文件能够正常修改进入到恶意文件,编辑恶意文件去除掉守护进程的路径过滤删除恶意进程的守护进程查看开机启动项是否有异常查看环境变量文件是否异常最终停止恶意进程,防止恶意进程再次生成溯源查看登录日志,发现无记录,无法溯源分析结论 :经过上述的分析,我们判定该服务器被挖掘恶意进程入侵,并且存在守护进程,会不断的产生恶意进程,并且导致CPU占用率飙高加固建议:1.更新补丁2.实施强密码的策略,确保一些所有用户都要使用复杂且是唯一的密码
85110编辑于 2024-08-13 - 来自专栏FreeBuf
应急响应之大灰狼远控分析
目标IP:139.159.227.182,使用微步对该IP进行分析,发现该IP服务器存在病毒样本数据,详细如下: ? 确认该信息后,使用杀软对系统进行病毒查杀,但并未发现异常: ? 对此不太甘心,因此做了一下操作: 在防火墙封锁该IP,禁止与互联网进行通信; 进入系统对进程信息进行分析,判断是否存在问题; 对外联流量的对象系统进行渗透; 第二章、大灰狼远控木马分析 使用process 对netsyst96.dll进分析,确认异常文件: ? 2.1、工具使用情况 本次主要使用工具是IDA、OD。 通过该分析得知,该后门文件的exe仅为download并未存在真实后门功能程序,因此能够绕过一些国内的安全软件。 2.5、文件调用函数整体架构 ? 第四章、总结 在进行该病毒的分析中,涉及循环较多,分析时应注意循环信息。由于此次遇到的是绿色版,删除文件即可解决问题,因此未提及病毒处置过程。
2.3K20发布于 2020-08-17 - 来自专栏Khan安全团队
应急响应 - Tips
HKEY_LOCAL_MACHINE\USERDAT\Software\Microsoft\Office\<VERS>\<PROGRAM>\Security\Trusted Documents\TrustRecords
1.3K20编辑于 2022-04-02 - 来自专栏坐看云起时
windows应急响应
Windows的应急 学习过程中看到师傅文章,所以顺便做了个思维导图 师傅太强了 原文链接已放文末。 常见的应急响应事件分类。 导出Windows日志--安全,利用Log Parser进行分析 1.2 检查异常端口、进程 netstat -ano 查看目前的网络连接,定位可疑的ESTABLISHED状态 根据netstat 下载安全软件,更新最新病毒库,进行全盘扫描 2、webshell查杀 检查方法:选择具体的站点路径进行webshell查杀,建议使用两款或者多款查杀工具同时查杀,可以相互补充规则库的不足 1.6 日志分析 Win+R打开运行窗口,输入eventvwr.msc,打开事件查看器 导出应用程序日志、安全日志、系统日志,利用Log Parser进行分析 2、web访问日志 找到中间件的web日志,打包到本地方便进行分析 Windows推荐使用EmEditor进行日志分析;Linux推荐使用shell命令组合查询分析 常见日志存放路径 1、apache服务器 Windows : <Apache安装目录>
2.4K30编辑于 2023-05-09 - 来自专栏红蓝对抗
Windows应急响应
web入侵:Webshell,网页挂马,主页篡改系统入侵:病毒木马,远控后门,勒索软件网络攻击:ARP欺骗,DDOS攻击,DNS劫持针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 如果说单纯的报警没有啥太大的意义,在平时只要对入侵报警分析,把入侵IP封掉,就行。但是,在一次被入侵成功的安全事件,我们肯定需要一系列分析溯源,尽可能把整个事件还原,还需要出个应急响应报告的。 入侵排查思路 检查系统账号安全 检查异常端口、进程 检查启动项、计划任务、服务 检查系统相关信息 杀软查杀 日志分析 处置流程: 准备阶段:获取整个事件的信息(比如发生时间,出现啥异常等),准备应急响应相关工具 ,业务恢复 总结阶段:完整应急响应事件报告编写 挖矿 随着虚拟货币越来越火,挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一。 还有就是定位异常程序,把这个程序上传到威胁感知分析平台,进行分析,看是正常文件,还是恶意文件。 但这只是能发现这种常见的远控。
2.6K21编辑于 2022-06-30 - 来自专栏huasec
聊聊应急响应
“俗话说:好记性不如烂笔头,最近做了几个应急响应就来总结下。” 应急响应分为四个阶段:前期沟通,事件处理,事件分析,报告交付,前期沟通主要是和客户交流事件情况,了解是什么安全事件,客户是否做了处理,如果做了处理,做了那些处理。 服务器恢复正常后,进行事件分析,通过排查日志还原攻击者的入侵轨迹,最后一步就是整理报告。 沟通贯穿整个应急响应流程,也是最重要的,切记不要一上来就查,了解事件原因才会事半功倍。 0x01 "止血" 应急响应事件分为五大类,网络攻击事件,恶意程序事件,web恶意代码,信息破坏事件和其他事件,每个事件的具体描述如下 image.png (图片来源:https://help.aliyun.com ,我觉得更重要的是攻击者的攻击思路,他在这个系统里做了什么,他为什么要这么做,他这么做得到了什么,换作是你,你发现了这个漏洞,你会怎么做,向高手学习,才能成长更快,总而言之,应急响应,任重道远。
1.8K00发布于 2019-08-23 - 来自专栏网络安全攻防
应急响应之大文件日志分析策略
文章前言 在对日志进行分析时我们偶尔会遇到客户直接将日志文件写在同一个文件中的情况,随着时间的推移后续文件会变得越来越大,导致出现攻击事件时无法正常使用文本文件或者其他应用软件查看文本文件进行日志分析 /files/ https://glogg.bonnefon.org/download.html Step 2:安装应用程序 Step 3:运行日志分析工具加载日志文件 大文件日志完美加载 Step 3:文本内容检索 分析策略 应急响应其实可以大致分为事件型和异常型两大类: 事件型:主要指各类安全预警,例如:Weblogic反序列化命令执行等,由安全预警引导的甲方团队一般都是首先确定自身资产是否有使用对应的产品和应用 了解具体异常发现的时间、异常的具体体现(上传后门文件、DDOS、文件被勒索等)、当下所作的处理(日志文件是否还在、后门文件是否在清理之前有做备份、服务器是否已做隔离、服务器是否可以远程排查等),随后可以将分析的目光着重放在日志中进行分析取证 ,对攻击者的攻击手法、攻击时间等进行排查并给出最终的应急排查分析报告,其中部分除了要定位具体的漏洞问题所在还需要协助进行攻击者溯源
74120编辑于 2023-08-10 - 来自专栏网络安全攻防
对某次应急响应中webshell的分析
文章前言 近期在处理一起应急事件时发现攻击者在WEB应用目录下上传了webshell,但是webshell似乎使用了某种加密混淆手法,无法直观的看到其中的木马连接密码,而客户非要让我们连接webshell 来证实此文件为后门文件且可执行和利用,遂对提取到的webshell进行解密分析操作看看到底其内容是什么以及看一下这个其中到底使用了那种加密混淆手法对webshell进行混淆处理 样本文件 从客户环境中提取的 webshell样本文件如下所示: 样本分析 首先对木马文件进行格式化处理: <? > 内容证实为一句话木马,连接密码为q,随后我们使用菜刀连接源webshell,成功交差 文末小结 本篇文章的起源主要是因为客户的需求也是因为个人的好奇心驱动,其中主要介绍了对应急响应过程中编码混淆的webshell 进行层层解码获取webshell连接密码的过程,之前曾写过的webshell免杀实践文章中主要的免杀思路在于借助PHP语言的特性以及函数来实现,感觉后面可以深入再分析一下关于PHP源码混淆加密处理在webshell
57510编辑于 2024-07-19 - 来自专栏网络安全攻防
应急响应靶机训练之挖矿事件分析
故此这里攻击者应该是通过系统漏洞进行的入侵操作,我们这里打开桌面的DMZ服务器账号密码表格可以看到这里的账户密码都是一致的,说明可能是攻击者在拿到一台的密码后进行的密码喷洒 随后进行Windows日志分析 : 发现暴力破解痕迹并记录时间2024-05-21 20:25:22 第二问答 靶机的第二个问题是"攻击者的ip地址",从下面的日志分析可以看出来攻击者的IP地址为192.168.115.131 第三问答 打开文件位置并计算MD5——A79D49F425F95E70DDF0C68C18ABC564 第五问答 靶机的第五个问题是"后门脚本的md5",在这里我们通过火绒剑进行分析,捕获到"未知文件" 随后计算文件 4APXVhukGNiR5kqqVC7jwiVaa5jDxUgPohEtAyuRS1uyeL6K1LkkBy9SKx5W1M7gYyNneusud6A8hKjJCtVbeoFARuQTu4Y 第八问答 靶机的第八个问题是"攻击者是如何攻击进入的",从之前的日志记录中可以看到这里是通过RDP暴力猜解攻击进入的系统 文末小结 本篇文章我们主要借助"应急响应靶机训练之挖矿 "介绍了一个简易的挖矿程序的分析过程,其中包括入侵方式、挖矿程序、挖矿钱包地址定位等内容信息~ 推 荐 阅 读 横向移动之RDP&Desktop Session Hija
46300编辑于 2025-01-16 - 来自专栏一己之见安全团队
应急响应篇——中间件日志分析
三、状态码分析 很多告警可能无法确认攻击类型或者攻击是通过工具跑的,只有某一次的某一个payload成功了,例如shiro反序列化,一个个key爆破会产生大量400日志,或者无返回的200日志,需要定位 ip后具体进行分析,一般来说短时间内大量400或者大量无返回、无意义200都是在fuzz测试payload或者拿工具跑漏洞没跑了。 状态码分析是一个辅助,主要结合以上两条进行。 当然了,这一块可能偏向于流量分析,光看中间件日志可能没太大用处,毕竟只看得到请求,仅参考用。
1.2K10编辑于 2024-06-27 - 来自专栏Khan安全团队
应急响应Q&A
什么是应急响应?问:什么是应急响应? 应急响应通常包括检测、分析、遏制、根除和恢复等步骤。2. 什么是溯源?问:什么是溯源? 事后分析:进行事后分析,总结经验教训,改进应急响应计划。4. 溯源的基本步骤是什么?问:溯源的基本步骤是什么? 如何进行事后分析和改进?问:如何进行事后分析和改进?答:事后分析和改进可以通过以下步骤进行:事件回顾:回顾整个应急响应过程,分析事件的发生、检测、响应和恢复情况。 培训和演练:对应急响应团队进行培训和演练,提高团队的应急响应能力和协作水平。加强防御措施:根据事件的分析结果,强化系统和网络的防御措施,提升整体安全性。
1.6K10编辑于 2024-07-10 - 来自专栏黑战士安全
Linux应急响应笔记
背景 客户的监控系统发现有异常行为,我临时顶替应急的同事处理一下。 应急响应流程 言归正传,应急响应的标准流程应该如何? Lessons learned总结反思事件,一方面从源头上减小安全事件的发现,另一方面提升应急响应的效率。 上面的应急响应还是非常片面的,我搜罗了一系列网友分享的应急响应经验,整理成章方便以后查阅。 我把应急响应流程分为三个部分,分别是 【1】入侵现场,【2】攻击维持,【3】入侵原因,下面我将从这三个方面展开 入侵现场 所谓入侵现场,是指服务器被怀疑中毒的现场环境,一般来说,服务器被怀疑中毒都有异常现象 diff 用diff命令把重要的目录做对比,分别对比入侵环境和纯净环境下的不同 比如把连个环境的重要目录都拷贝到PC-x中,利用下面的命令对比两个目录 diff -r {dir 1} {dir 2} 分析恶意程序
1.9K30编辑于 2022-11-19 - 来自专栏一己之见安全团队
应急响应篇——开篇
应急响应必查项: 1.日志(各种日志,访问日志、中间件日志、数据库日志、系统日志、运行日志、安全日志等等等等) 2.计划任务(老生常谈) 3.注册表(推荐用工具吧,手工排查冗长且效率低下) 4.端口(查正在占用的异常端口 正常来说能给你打进去的无非就是中马、rce、sql注入等几种手段,而未能在攻击实施阶段就发现并阻断攻击,需要应急响应,说明大概率已经中了大马了,产生了反连流量了,这一步最最主要的事情就是把马子找出来,也就是进行定位 三、主机排查 这里就是大家熟知的一些操作了,各种排查,请参考上面的的应急响应排查项,不单独赘述。 这里一定要结合现场的安全设备进行判断,尽可能利用好安全设备的记录才能提高效率,尤其是记录型设备,日志审计、全流量分析等。 四、横向感染否?
65510编辑于 2024-06-05 - 来自专栏潇湘信安
蓝队自动化分析应急响应工具
工具介绍 FindAll工具是专为网络安全蓝队设计的应急响应工具,旨在帮助团队成员有效地应对和分析网络安全威胁。工具集成了先进的信息搜集和自动化分析功能,以提高安全事件应对的效率和准确性。 日志排查: 深入分析系统和应用日志,寻找安全事件的痕迹,会根据日志进行汇总方便人员进行分析。 账户检测: 识别各个场景下创建的隐藏账户、克隆账户。 自动化威胁分析(填写微步API后) 自动识别异常IP、进程和文件,显著提高分析效率。 突出显示异常情况,使得团队成员能够集中关注重点进程。 快速异常识别与响应 提供即时的异常检测和响应建议,帮助蓝队迅速应对威胁。 用户友好界面 界面设计简洁直观,适合各水平的蓝队成员。 简洁明了,适合各水平用户,包括网络安全领域新手。 支持一键分析预览异常情况,快速定位风险项。 工具展示
46910编辑于 2024-03-02
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号