0×1 事件描述 小Z所在公司的信息安全建设还处于初期阶段，而且只有小Z新来的一个信息安全工程师，所以常常会碰到一些疑难问题。一天，小Z接到运维同事的反映，一台tomcat 的web服务器虽然安装了杀软，但是还是三天两头会出现杀软病毒报警，希望他能查下原因。 小Z首先设想了三种可能性 ...

中毒原因，redis bind 0.0.0.0 而且没有密码，和安全意识太薄弱。 所以，redis一定要设密码，改端口，不要用root用户启动，如果业务没有需要，不要bind 0.0.0.0！！！！ ...

0x00 背景 周一早上刚到办公室，就听到同事说有一台服务器登陆不上了，我也没放在心上，继续边吃早点，边看币价是不是又跌了。不一会运维的同事也到了，气喘吁吁的说：我们有台服务器被阿里云冻结了，理由：对外恶意发包。我放下酸菜馅的包子，ssh连了一下，被拒绝了，问了下默认的22端口被封了。让运维 ...

周一早上刚到办公室，就听到同事说有一台服务器登陆不上了，我也没放在心上，继续边吃早点，边看币价是不是又跌了。 不一会运维的同事也到了，气喘吁吁的说：我们有台服务器被阿里云冻结了，理由：对外恶意发包。 我放下酸菜馅的包子，SSH 连了一下，被拒绝了，问了下默认的 22 端口被封 ...

总体思路 确认问题与系统现象 → 取证清除与影响评估 → 系统加固 → 复盘整改 常见入侵 挖矿： Webshell： 内网入侵： 进程相关 1.查询可疑端口、进程、ip：netstat -antlp | more 或者 netstat -anltp ...

是docker远程服务入侵，所以就利用docker远程服务和redis服务，模拟入侵了一次自己的服务器。 ...

5900端口是远程控制软件vnc的默认监听端口。 1、收集IP信息： （1）获取内网IP地址段，使用ping 内网系统的域名，得到内网IP地址段： 2）使用: nmap -sP 192.16 ...

/var/spool/cron 发现有一个定时任务，wget一个脚本 十分钟执行一次 6，查看脚本文件 发 ...