24小时接单的黑客QQ 黑客教你一分钟盗号

24小时接单的黑客QQ 黑客教你一分钟盗号

黑客平台hacker2020-10-31 8:00:005291A+A-

雷锋网按:本文作者sm0nk@猎户攻防实验室,雷锋网宅客频道授权转载,先知技术社区拥有全部内容版权。媒体或商业转载必须获得授权,违者必追究法律责任。

1 事件分类

常见的安全事件:

Web入侵:挂马、篡改、Webshell

系统入侵:系统异常、RDP爆破、SSH爆破、主机漏洞

毒木马:远控、后门、勒索软件

信息泄漏:拖裤、数据库登录(弱口令)

网络流量:频繁发包、批量请求、DDOS攻击

2 排查思路

一个常规的入侵事件后的系统排查思路:

文件分析

a) 文件日期、新增文件、可疑/异常文件、最近使用文件、浏览器下载文件

b) Webshell 排查与分析

c) 核心应用关联目录文件分析

进程分析

a) 当前活动进程 & 远程连接

b) 启动进程&计划任务

c) 进程工具分析

      i. Windows:Pchunter

      ii. Linux: Chkrootkit&Rkhunter

系统信息

a) 环境变量

b) 帐号信息

c) History

d) 系统配置文件

日志分析

a) 操作系统日志

      i. Windows: 事件查看器(eventvwr)

      ii. Linux: /var/log/

b) 应用日志分析

      i. Access.log

      ii. Error.log

3 分析排查

3.1 Linux系列分析排查

3.1.1 文件分析

敏感目录的文件分析(类/tmp目录,命令目录/usr/bin /usr/sbin)

  例如:

  查看tmp目录下的文件: ls –alt /tmp/

  查看开机启动项内容:ls -alt /etc/init.d/

  查看指定目录下文件时间的排序:ls  -alt  | head -n 10

  针对可疑文件可以使用stat进行创建修改时间、访问时间的详细查看,若修改时间距离事件日期接近,有   线性关联,说明可能被篡改或者其他。

新增文件分析

  例如要查找24小时内被修改的JSP文件: find ./ -mtime 0 -name "*.jsp"

  (最后一次修改发生在距离当前时间n24小时至(n+1)24 小时)

  查找72小时内新增的文件find / -ctime -2

  PS:-ctime 内容未改变权限改变时候也可以查出

  根据确定时间去反推变更的文件


(责任编辑:网络)

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理