0x01 入侵排查思路 一、账号安全 基本使用： 入侵排查： 二、历史命令 基本使用： 通过.bash_history查看帐号执行过的系统命令1、root ...

总体思路 确认问题与系统现象 → 取证清除与影响评估 → 系统加固 → 复盘整改 常见入侵 挖矿： Webshell： 内网入侵： 进程相关 1.查询可疑端口、进程、ip：netstat -antlp | more 或者 netstat -anltp ...

一 2、确保命令没有被替换后进行排查，第一步查看在线连接和登录日志（无论从什么途径进来的，如果能进来说明登录了才 ...

一、绪论： WannaCry是一款基于NSA的永恒之蓝漏洞（SMB-MS17-010）类似蠕虫似传播的一款勒索软件（Ransomware）。一旦中招，该勒索病毒会对系统中的各种文件进行加密，比要求支付赎金进行解密。 对于该类勒索软件及其变种应急思路如下。 二、本机保护： 0、对于内网已有 ...

深入分析，查找入侵原因 一、检查隐藏帐户及弱口令 检查服务器系统及应用帐户是否存在 弱口令： 检查说明：检查管理员帐户、数据库帐户、MySQL 帐户、tomcat 帐户、网站后台管理员帐户等密码设置是否较为简单，简单的密码很容易被黑客破解。 解决方法：以管理员权限登录系统或应用程序后台 ...

所有用户的计划任务，都会在这个目录下产生对应的文件 黑客：通过crontab ， 篡改一个系统级别的计划任务 root@linux-szge:/var/spool/cron/tabs # ls /etc/cron cron.d/ cron.daily ...

　　近半年做了很多应急响应项目，针对黑客入侵。但疲于没有时间来总结一些常用的东西，寄希望用这篇博文分享一些安全工程师在处理应急响应时常见的套路，因为方面众多可能有些杂碎。 　　个人认为入侵响应的核心无外乎四个字，顺藤摸瓜。我们常常需要找到比较关键的信息后通过一些指令查询或者分析日志，逐步分析黑客 ...

的应急响应事件分类： web入侵：网页挂马、主页篡改、Webshell 系统入侵：病毒木马、勒索软件、远 ...