应急响应
应急响应一些心得
关注日志与文件 不仅要重视操作系统的日志,还需关注操作系统上的文件。应当全面排查,避免大意。许多攻击行为可能在日志中无法体现,例如攻击者上传的扫描工具(如 fscan),这些工具可能会残留在操作系统中。
分析 Linux 的历史命令
在 Linux 系统中,使用history命令…
Windows XML事件日志(EVTX)解析
evtx 日志描述 windows 下的 evtx 日志存放位置
Copy
%SystemRoot%\System32\Winevt\Logs\
主要日志包括应用程序、安全、系统日志等,日志默认大小 20484K(20M),超出的部分将覆盖过期的日志。
通过 windows…
windows应急响应手册笔记记录
系统账号# 服务器是否存在弱口令(询问、工具爆破)
可疑账号
Copy
lusrmgr.msc
net user/wmic UserAccount get
隐藏账号
Copy
HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users…
linux下应急响应(基础知识记录补充)
之前的文章【linux 下应急响应(基础知识记录)】,这是一篇补充性文章,两篇可结合使用,后面会补充更新。 帐号安全#
linux 下攻击者一般不添加帐号,动作大
Copy
who
w
uptime
last
禁用或删除多余和可疑的帐号
Copy
sudo usermod…
linux下应急响应(基础知识记录)
查看 cpu 占用率 查看 cpu 占用率的目的是为了查清是哪个进程占用 cpu 过高 (针对挖矿)
Copy
top -c -o %CPU
htop -t
# 查看cpu占用前五的进程
ps -eo pid,ppid,%mem,%cpu,cmd --sort=-%cpu…
记一次linux下的应急响应
某同事在某单位遇到一个linux主机运行不正常,疑似服务器被植入恶意代码,叫我这边看下,当时同事了解到,由于服务器业务出现问题,导致客户登陆服务器查看情况,对异常进程进行查杀之后,恢复正常,但之后该进程又会重新启动。