表象:CPU增高、可疑定时任务、外联矿池IP。
告警:威胁情报(主要)、Hids(入侵检测系统)、蜜罐(挖矿扩散时触发)
动作:通过CPU确认异常情况→ 确认可疑进程 → 检查定时任务主机服务、守护进程→结束病毒进程,删除病毒文件->加固。
表象:业务侧应用逻辑漏洞(允许上传脚本等造成命令执行)或者开源软件低版本造成(fastjson等)导致,通常为反弹shell、高危命令执行,同时存在内网入侵、恶意程序传播、数据盗取等行为。
告警:Hids(主要)、流量监控设备
动作:确认Webshell文件内容与可用性→ 酌情断网,摘掉公网出口IP→ 通过日志等确认Webshell文件访问记录→ 确定Webshell入侵来源,是业务逻辑漏洞导致、开源组件漏洞还是弱口令与未授权等情况导致 →排查应用其他机器情况,全盘扫描Webshell文件→ 缩容机器,修复相关问题重新恢复应用开放。
表象:以入侵的跳板机为源头进行端口扫描、SSH爆破、内网渗透操作、域控攻击等。
告警:Hids(主要)、蜜罐、域控监控(ATA等)
动作:确定入侵边界再进行处理,通常蜜罐等存在批量扫描爆破记录,需登录前序遭入侵机器确认情况
方便后续批量处理,这个情况较为复杂后期单独写一篇文章。
①.查询可疑端口、进程、ip:
若存在可疑进程可通过 ls -l /proc/$PID 查看PID对应的进程文件路径。
②.针对挖矿等大量消耗系统资源的恶意程序可以通过 top(执行top命令后通过大写字母P按CPU排序,通过大写字母M按内存排序)、可疑、命令检查排名靠前的或者不断变化的程序。同时使用 kill - 9 进程名 结束进程。
③.查询通过连接服务器的IP地址列表:,查询可疑连接:
④.查询守护进程:
⑤.查询进程命令行:,#注意查看命令行,如:带有URL等可疑字符串、wget等命令字符串可 能为病毒下载地址
⑥.跟踪可疑进程运行情况:
① 检查近期登陆的账户记录:使用命令,
禁用可疑用户:
删除用户:
② 查询特权用户:
③ 查询可远程登录用户:
④ 查询sudo权限账户:
⑤ 与业务确认管理员帐户、数据库帐户、MySQL 帐户、tomcat 帐户、网站后台管理员帐户等密码设置是否存在弱口令情况。
① cron目录(,查询目录下所有文件通过)下检查非法定时任务脚本查看,,,,,是否存在可疑脚本或程序,进行注释或者删除。
② 编辑定时任务:,查看定时任务:,查看异步定时任务:,删除定时任务:
③ 查询主机历史命令:
④ 查询主机所有服务:
⑤ 开机启动项:
① 查看tmp目录相关文件:
② 指定目录下文件按时间排序:
③ 查看可疑文件详细修改时间:目录或者文件
① 查找24小时内被修改的特定文件:
② 查找72小时内新增的文件:
③ 查询一定时间内敏感目录下被修改的系统文件:
①
②
查询文件md5: md5sum 文件名
查询SSH登录日志:
所有ssh登录打包日志均在该文件夹,可直接vim,快速判断爆破痕迹(Accepted password:密码正确、Failed password:密码错误)
系统服务备份
进程备份
监听端口备份
系统所有端口情况
a.查看当前登录用户和其行为:
b.查看所有用户最后一次登录的时间:
c.查看所有用户的登录注销信息及系统的启动、重启及关机事件:
d.查看登录成功的日期、用户名及ip:
e.查看试图爆破主机的ip:
f.查看有哪些ip在爆破主机的root账号:
g.查看爆破用户名字典:
当我们利用APP的时候总会碰着筛选标签的环境,那么筛选标签的结果是怎么实现的呢? 前期筹备 软件:Axure 9.0 硬件:Windows/Mac电脑 筛选标签结果图: 教程 (1)找到一个手...
找黑客买账号相关问题 普通公司会被黑客攻击吗相关问题 黑客黑普通用户有什么意义 用什么软件可以入侵app(防黑客入侵软件)...
随着网络的发展,经常在弹幕和评论中看到310的字样,还有找对象310的字样,关于310的梗有很多,很多人不知道网络上说的310什么意思?下面友谊长存小编带来介绍。 网络上说的310什么意思? 第一...
螃蟹吃什么食物,养殖螃蟹吃什么。 该怎么养殖螃蟹?有需要什么日常维护?它对食物有什么要求? 螃蟹喜欢在一些水质比较清澈,阳光充足的地方生长,并且养殖螃蟹的水下,还要富含有丰富的水草,螃蟹本身...
特朗普此前被确诊感染新冠,可是才好没几天他又出了新的幺蛾子,根据最新的消息报道,特朗普考虑将蚂蚁集团加入黑名单,现在美国国务院已经递交了提案,但何时审理这一问题还不清楚,不过有消息称,可能会在蚂蚁集团...
本文导读目录: 1、黑客帝国 为什么尼奥(主角)是救世主,救世主的作用是什么?高手进 2、黑客帝国1,2,3的剧情详细介绍! 3、然后到911内天真的应验了,黑客帝国是预言帝么 4、黑客帝...