最近也是拿到了启明星辰的暑期实习offer,虽然投的是安服,但主要工作是护网,昨天在公众号Timeline Sec上看到有一篇关于护网的文章,所以在这里照着人家写的在总结一下,为将来的工作打点基础. 0x01 技能树 Linux常用命令 常见日志的位置以及分析方法 熟悉常规黑客的攻击手法 常规安全事件的处置思路 0x02 Linux常用命令 查找与文本操作 1.find 根目录下所有.jsp后缀文件 find / -name *.jsp 最近3天修改过的文件 find -type f -mtim…

文件排查 敏感目录文件分析 tmp目录 命令目录 /usr/bin /usr/sbin 开机启动项 /etc/init.d /etc/init.d是/etc/rc.d/init.d的软链接 文件时间 按时间排序查看指定目录下文件 ls -alt | head -n 10 stat 针对可以文件可以使用stat进行创建修改时间,访问时间的详细查看,若修改时间距离事件日期接近,有线性关联,说明可能呗篡改或者其它 | 状态 | 解释 | | ---- | ---- | | Access | 文件最后一…

0x00 前言 ​ Linux盖茨木马是一类有着丰富历史,隐藏手法巧妙,网络攻击行为显著的DDoS木马,主要恶意特点是具备了后门程序,DDoS攻击的能力,并且会替换常用的系统文件进行伪装.木马得名于其在变量函数的命名中,大量使用Gates这个单词.分析和清除盖茨木马的过程,可以发现有很多值得去学习和借鉴的地方. 0x01 应急场景 ​ 某天,网站管理员发现服务器CPU资源异常,几个异常进程占用大量网络带宽: 0x02 事件分析 异常IP连接: 异常进程: ​ 查看进行发现ps aux进程异常,进…

0x00 前言 ​ 随着虚拟货币的疯狂炒作,利用挖矿脚本来实现流量变现,使得挖矿病毒成为不法分子利用最为频繁的攻击方式.新的挖矿攻击展现出了类似蠕虫的行为,并结合了高级攻击技术,以增加对目标服务器感染的成功率,通过利用永恒之蓝(EternalBlue).web攻击多种漏洞(如Tomcat弱口令攻击.Weblogic WLS组件漏洞.Jboss反序列化漏洞.Struts2远程命令执行等),导致大量服务器被感染挖矿程序的现象 . 0x01 应急场景 ​ 某天,安全管理员在登录安全设备巡检时,发现某台…

0x00 前言 ​ 短连接(short connnection)是相对于长连接而言的概念,指的是在数据传送过程中,只在需要发送数据时,才去建立一个连接,数据发送完成后,则断开此连接,即每次连接只完成一项业务的发送. 在系统维护中,一般很难去察觉,需要借助网络安全设备或者抓包分析,才能够去发现. 0x01 应急场景 ​ 某天,网络管理员在出口WAF检测到某台服务器不断向香港I发起请求 ,感觉很奇怪,登录服务器排查,想要找到发起短连接的进程. 0x02 日志分析 ​ 登录服务器查看端口.进程,并未发…

0x00 前言 ​ SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议,主要用于给远程登录会话数据进行加密,保证数据传输的安全.SSH口令长度太短或者复杂度不够,如仅包含数字,或仅包含字母等,容易被攻击者破解,一旦被攻击者获取,可用来直接登录系统,控制服务器所有权限. 0x01 应急场景 ​ 某天,网站管理员登录服务器进行巡检时,发现端口连接里存在两条可疑的连接记录,如下图: TCP初始化连接三次握手吧:发SYN包,然后返回SYN/ACK包,再发ACK包,连接正式建立.但是这里…

概述 Linux环境下处理应急响应事件往往会更加的棘手,因为相比于Windows,Linux没有像Autorun.procexp这样的应急响应利器,也没有统一的应急响应处理流程.所以,这篇文章将会对Linux环境下的应急响应流程进行讲解,并且提供每一个环节中所用到的shell命令,以帮助大家快速.系统化地处理Linux环境下的病毒. 处理Linux应急响应主要分为这4个环节:识别现象-> 清除病毒-> 闭环兜底-> 系统加固. 首先从用户场景的主机异常现象出发,先识别出病毒的可疑现象.…

Linux应急响应-系统日志排查-溯源 溯源 找到攻击者.系统日志分析攻击者的ip  攻击者可能留下了一些代码 样本 网上的信息很大程度上是不可信的. 方法: 蜜罐  高交互的蜜罐 溯源: ip 日志分析 (通过日志分析,分析哪个ip攻击了目标) 目的:分析黑客在服务器上做了什么事情? Linux 应急响应 安服. 实验环境: 在线环境 w 第二行包括以下信息: USER - 登录用户名 TTY - 登录用户使用的终端名称 FROM - 来自登录用户的主机名或者 IP LOGIN@ - 用户登录…

一.主机篇: 1.自动化初筛,建议使用RootkitHunter (1)安装 $sudo wget https://jaist.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.4/rkhunter-1.4.4.tar.gz $.tar.gz $ $sudo sh install.sh --install (2)使用(主要看一下,常用的基础的命令有没有被替换) $/usr/local/bin/rkhunter --propupd $/usr/loc…

0x00 前言 ​ 当企业发生黑客入侵.系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失. 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Linux服务器入侵排查的思路. 0x01 入侵排查思路 一.账号安全 基本使用: 1.用户信息文件/etc/passwdroot:x:0:0:root:/root:/bin/bash…

一.前记 无论是甲方还是乙方的同学,应急响应可能都是家常便饭,你可能经常收到如下反馈: 运维同事 --> 服务器上存在可疑进程,系统资源占用高: 网络同事 --> 监控发现某台服务器对外大量发包: .... 不要着急,喝一杯82年的美年达压压惊,希望本文可以对你有所帮助. 二.排查流程 0x01 Web服务 一般如果网络边界做好控制,通常对外开放的仅是Web服务,那么需要先找到Webshell,可以通过如下途径: 1)检查最近创建的php.jsp文件和上传目录 例如要查找24小时内被修改的JS…

文件排查 开机启动有无异常文件 msconfig 敏感的文件路径 %WINDIR% %WINDIR%\SYSTEM32\ %TEMP% %LOCALAPPDATA% %APPDATA% 用户目录 新建账号会在这个目录生成一个用户目录,查看是否有新建用户目录 Window 2003 C:\Documents and Settings Window 2008R2 C:\Users 回收站 浏览器下载记录/目录 浏览器历史记录 文件排查 临时文件目录 各个盘下的temp(tmp)相关目录下查看有无异常…

点击上方"开源Linux",选择"设为星标" 回复"学习"获取独家整理的学习资料! 账号安全: 1.用户信息文件 /etc/passwd # 格式:account:password:UID:GID:GECOS:directory:shell # 用户名:密码:用户ID:组ID:用户说明:家目录:登陆之后的 shell root:x:0:0:root:/root:/bin/bash # 查看可登录用户: cat /etc/passwd | grep…

1.识别现象 top / ps -aux 监控与目标IP通信的进程 while true; do netstat -antp | grep [ip]; done 若恶意IP变化,恶意域名不变,使用host文件添加一条规则 查找有无恶意命令 history 清除可疑进程的进程链 ps -elf | grep [pid] kill -9 [pid] 定位病毒进程对应的文件路径 ls -al /proc/[pid]/exe rm -f [exe_path] 2.闭环兜底 crontab -l cat/…

1.入侵者可能会删除机器的日志信息,可以查看日志信息是否还存在或者是否被清空,相关命令示例: ll -h /var/log/*  系统日志一般都存在/var/log下常用的系统日志如下:核心启动日志:cat /var/log/dmesg 系统报错日志:less /var/log/messages 邮件系统日志:/var/log/maillogFTP系统日志:/var/log/xferlog安全信息和系统登录与网络连接的信息:/var/log/secure 登录记录:/var/log/wtmp  …

Linux应急响应重点检查项 用户账号审计: cat /etc/passwd & cat /etc/shadow 在线账户审计: w 登录状况审计: last 空口令账户审计: awk -F: '($2 == "") { print $1 }' /etc/shadow 主机配置检查中不允许存在空口令账户,虽然空口令账户暂时没发现利用的方式,但是不符合等级保护的基本原则. 特权账户审计: awk -F: '($3 ==0) { print $1 }' /etc/passwd Li…

近半年做了很多应急响应项目,针对黑客入侵.但疲于没有时间来总结一些常用的东西,寄希望用这篇博文分享一些安全工程师在处理应急响应时常见的套路,因为方面众多可能有些杂碎. 个人认为入侵响应的核心无外乎四个字,顺藤摸瓜.我们常常需要找到比较关键的信息后通过一些指令查询或者分析日志,逐步分析黑客的具体步骤. 入侵后需要被关注的Linux系统日志 var/log/cron 记录crontab命令是否被正确的执行,一般会被黑客删除 var/log/lastlog 记录登录的用户,可以使用命令lastlog查…

Linux安全事件应急响应排查方法总结 Linux是服务器操作系统中最常用的操作系统,因为其拥有高性能.高扩展性.高安全性,受到了越来越多的运维人员追捧.但是针对Linux服务器操作系统的安全事件也非常多的.攻击方式主要是弱口令攻击.远程溢出攻击及其他应用漏洞攻击等.我的VPS在前几天就遭受了一次被恶意利用扫描其他主机SSH弱口令安全问题.以下是我针对此次攻击事件,结合工作中Linux安全事件分析处理办法,总结Linux安全应急响应过程中的分析方法. 一.分析原则 重要数据先备份再分析,尽量不要…

Linux 应急相应 - 总纲 应急准备: 制定应急策略 组建应急团队 其他应急资源 安全事件处理: 痕迹数据获取 分析.锁定攻击源删除可疑账号关闭异常进程.端口禁用相应异常开机启动项删除异常定时任务卸载或删除相应异常服务 解决.恢复 报告记录总结 Linux应急相应 - 工具 Rootkit查杀: chkrootkit http://www.chkrootkit.org rkhunter http://rkhunter.sourceforge.net 病毒查杀: clamav http://w…

0x00 前言 ​ 当企业发生黑客入侵.系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失. 常见的应急响应事件分类: web入侵:网页挂马.主页篡改.Webshell 系统入侵:病毒木马.勒索软件.远控后门 网络攻击:DDOS攻击.DNS劫持.ARP欺骗 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Window服务器入…

第5章 Linux网络编程基础 5.1 socket地址与API 一.理解字节序 主机字节序一般为小端字节序.网络字节序一般为大端字节序.当格式化的数据在两台使用了不同字节序的主机之间直接传递时,接收端要根据自身采用的字节序决定是否对其接收到的数据进行转换. 在Linux上提供了4个函数来完成主机字节序和网络字节序之间的转换. #include<netinet/in.h> unsigned long int htonl(unsigned long int hostlong); unsigned…

Linux集群基础 作者:Danbo 时间:2015-7-12 集群概述 什么是集群?集群是一组协同工作的服务器实体.用以提供比单一服务实体更具扩展性和可用性的平台. 集群的分类 1.HPC(High Performance Compute Clutering)2.HA(High-availabtlity)3.LB(Load-balance clutering) HA集群的概念 1.容错:2.可用性:3.可靠性:4.热备份:5.数据完整性 HA集群的三种方式1.主从方式:包含两台服务器及一个或多…

作者:Zzang 来源:cnblogs 原文:https://www.cnblogs.com/Zzang/p/LinuxHack.html 版权声明:本文为博主原创文章,转载请附上博文链接! 基本网络拓扑图 1. 准备阶段.配置云主机,模拟简单的ssh登录爆破入侵行为 步骤一:登录阿里云管理控制台.打开云主机. 步骤二:打开VMware,将kali虚拟机的网卡模式设置为NAT,打开kali.打开终端,测试ping云主机,需成功ping通,如下图所示 步骤三:通过SSH访问云主机,通过root账户…

一 基本情况 1.1  简要 此事件是去年应急处置时完成的报告,距今有半年时间了.一直存在电脑里,最近准备完善应急响应中遇到的各类安全事件,这篇文章作为这一系列的开端. 对于 Linux 安全检查,个人上段时间写了个 shell 用于一键进行 Linux 安全检查,本文对 Linux 的检查使用相关脚本均可实现,相关链接如下: https://mp.weixin.qq.com/s/S0OmDRU6uQo8LBBK-GUAaQ https://github.com/T0xst/linux 1.2…

目录 应急响应流程 防御模型 SDL 应急响应流程 很多人认为应急响应就是脸上被黑的机器去查查什么情况,是不是被中了botnet病毒.是不是被人中了rootkit等,是不是被挂了webshell等.应急响应这件事情是一件技术含量非常高的事情,处理好了万事大吉,处理不好的话就很容易把系统搞崩溃,甚至引起一些不必要的情况.应急响应这件事儿,CSO和安全运营工程师的点其实不太一样,其实原因还是因为两个人的职责不一样,CSO是非常特别以及极其不愿意自己的公司名字出现在SRC或者补天这些漏洞平台上,毕竟出…

0x01 应急响应概述   首先我们来了解一下两个概念:应急响应和安全建设,这两者的区别就是应急响应是被动响应.安全建设是主动防御.  所谓有因才有果,既然是被动的,那么我们在应急响应的时候就得先了解本次安全事件的起因,常见的有: 安全设备告警.数据被勒索加密.数据泄露在网上贩卖.网页被篡改.服务器CPU爆满卡死等.   在应急响应的时候,你会发现一个非常有用的经验技巧,就是:一旦你能够确定本次安全事件的类型,猜测出攻击者或者恶意代码的攻击思路,然后去验证排查这些猜想,就会加速你的分析过程,而这…

txt去重    http://man.linuxde.net/sort Linux 脚本编写基础 http://www.cnblogs.com/linn/archive/2007/03/05/664739.html http://blog.csdn.net/gzh0222/article/details/7530766 hostname修改http://www.centoscn.com/CentOS/config/2014/1031/4039.html…

linux发行版基础目录 linux 基础目录 linux基础目录 目录 作用 / 根目录,起源 /boot linux引导启动目录 /lib 库目录 /bin 常用内部命令 /sbin 常用内部管理命令 /usr 系统存放程序的地方,包括:普通命令,帮助文件等 /var 可变目录,日志放在其中 /root root用户的根目录 /home 普通用户家目录的上级目录 /etc 配置文件目录 /opt 用户程序安装目录 /dev linux外部文件设备目录 /mnt linux挂载目录 /proc…

LINUX二十个基础命令 一. useradd命令 1．命令格式: useradd 选项 用户名 2．命令功能: 添加新的用户账号 3．常用参数: -c comment 指定一段注释性描述.-d 目录 指定用户主目录,如果此目录不存在,则同时使用-m选项,可以创建主目录.-g 用户组 指定用户所属的用户组.-G 用户组,用户组 指定用户所属的附加组.-s Shell文件 指定用户的登录Shell.-u 用户号 指定用户的用户号,如果同时有-o选项,则可以重复使用其他用户的标识号. 4．常用实例:…

Linux命令工具基础04 磁盘管理 日程磁盘管理中,我们最常用的有查看当前磁盘使用情况,查看当前目录所占大小,以及打包压缩与解压缩: 查看磁盘空间 查看磁盘空间利用大小 df -h -h: human缩写,以人类易读方式显示结果(既带单位:比如M/G,如果不加这个参数,显示的数字以B为单位) $df -h /opt/app/todeav/config#df -h Filesystem Size Used Avail Use% Mounted on /dev/mapper/VolGroup00-…