1.深入分析,查找入侵原因 1.1 检查帐户和弱口令 1.查看服务器已有系统或应用帐户是否存在弱口令 检查说明:主要检查系统管理员帐户.网站后台帐户.数据库帐户以及其他应用程序(FTP.Tomcao.phpMyAdmin 等)帐户是否存在弱口令 检查方法:根据实际情况自行确认. 风险性:高 2.查看下服务器内是否有非系统和用户本身创建的帐户 检查说明:一般黑客创建的异常账户帐户名会在本地用户组显示出来 检查方法:打开 cmd 窗口,输入 lusrmgr.msc 命令,查看是否有新增的账号,如有管…

0x00 前言 当企业发生黑客入侵.系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失. 常见的应急响应事件分类: web入侵:网页挂马.主页篡改.Webshell 系统入侵:病毒木马.勒索软件.远控后门 网络攻击:DDOS攻击.DNS劫持.ARP欺骗 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Window服务器入侵排…

1 准备工作   检查人员应该可以物理接触可疑的系统.因为黑客可能侦测到你可以在检查系统,例如网络监听,所以物理接触会比远程控制更好. 为了当做法庭证据可能需要将硬盘做实体备份.如果需要,断开所有与可疑机器的网络连接. 做入侵检查时,检查人员需要一台PC对检查的过程进行检查项目的结果记录. 请维护可疑服务器人员或者PC使用人员来配合,来确定机器上运行的服务和安装的软件,便于安全检查人员提交检查的效率和准确性. 2 基本检查点   检测不正常账户 查找被新增的账号,特别是管理员群组的(Admini…

一, ping 用来检查网 络是否通畅或者网络连接速度的命令.作为一个生 活在网络上的管理员或者黑 客来说, ping 命令是第一个必须掌握的 DOS 命令,所利用的原理是这样的网络上的机器都有唯一确定的 IP 地址,给目标 IP 地址发送一个数据包,对方就要返回一个同样大小的数据包,根据返回的数据包我可以确定目标主机的存在可以初步判断目标主机的操作系统等.下面就来看看它一些常用的操作.先看看协助吧, DOS 窗口中键入: ping /? 回车,所示的协助画面.此,只掌握一些基本的很有用的参数就…

Windows的日志文件通常有应用程序日志,安全日志.系统日志.DNS服务器日志.FTP日志.WWW日志等等. 应用程序日志文件:%systemroot%\system32\config\AppEvent.EVT; 安全日志文件:%systemroot%\system32\config\SecEvent.EVT; 系统日志文件:%systemroot%\system32\config\SysEvent.EVT; DNS日志默认位置:%sys temroot%\system32\config,默认…

最新版本的metasploit为4.0,可以通过官方网站(www.metasploit.com)直接下载,因为是开源的,所以免费. metasploit很好很强大,集成了700多种exploit,但是如果操作系统打满了补丁,也还是很难入侵的,所以为了测试,选择了windows xp最古老的版本,就是不带任何的SPx补丁 ,或者可以选择windows xp SP1版本,反正漏洞越多吗,越容易攻击. 打开metasploit console,等待启动,启动完,确认没有错误信息,而是正常启动,尤其是跟…

我们经常会感觉电脑行为有点奇怪, 比如总是打开莫名其妙的网站, 或者偶尔变卡(网络/CPU), 似乎自己"中毒"了, 但X60安全卫士或者X讯电脑管家扫描之后又说你电脑"非常安全", 那么有可能你已经被黑客光顾过了. 这种时候也许要专业的取证人员出场, 但似乎又有点小提大作. 因此本文介绍一些低成本的自检方法, 对于个人用户可以快速判断自己是否已经被入侵过. 1. 异常的日志记录 通常我们需要检查一些可疑的事件记录, 比如: "Event log serv…

catalogue 1. 引言2. 使用注册表注入DLL3. 使用Windows挂钩来注入DLL4. 使用远程线程来注入DLL5. 使用木马DLL来注入DLL6. 把DLL作为调试器来注入7. 使用createprocess来注入代码8. APC DLL注入9. API Hook拦截10. Detours - Inline Hook11. 以服务形式执行DLL中指定函数/或直接指定EXE作为启动程序12. 劫持现有Service的启动DLL13. Reflective DLL injection…

1. Windows注册表简介 注册表(Registry,繁体中文版Windows称之为登录档)是Microsoft Windows中的一个重要的数据库,用于存储系统和应用程序的设置信息.早在Windows 3.0推出OLE技术的时候,注册表就已经出现.随后推出的Windows NT是第一个从系统级别广泛使用注册表的操作系统.但是,从Microsoft Windows 95开始,注册表才真正成为Windows用户经常接触的内容,并在其后的操作系统中继续沿用至今 0x1: 注册表的由来 在Wind…

1.net user 查看当前有哪些用户 2.net localgroup administrators 查询administrators最高权限组有哪些用户 3.net user administrator 查询这个用户上次登录的日期 4.找出异常账号上次登录日期修改的时间,看攻击者释放了什么文件. 5.netstat -ano查看有哪些异常的进程及端口,然后找出异常的进程的PID号进行分析 6.tasklist|findstr PID号查询端口对应的异常进程程序 7.用任务管理器查找对应的进…