0×1 事件描述 小Z所在公司的信息安全建設還處於初期階段，而且只有小Z新來的一個信息安全工程師，所以常常會碰到一些疑難問題。一天，小Z接到運維同事的反映，一台tomcat 的web服務器雖然安裝了殺軟，但是還是三天兩頭會出現殺軟病毒報警，希望他能查下原因。 小Z首先設想了三種可能性 ...

中毒原因，redis bind 0.0.0.0 而且沒有密碼，和安全意識太薄弱。 所以，redis一定要設密碼，改端口，不要用root用戶啟動，如果業務沒有需要，不要bind 0.0.0.0！！！！ ...

0x00 背景 周一早上剛到辦公室，就聽到同事說有一台服務器登陸不上了，我也沒放在心上，繼續邊吃早點，邊看幣價是不是又跌了。不一會運維的同事也到了，氣喘吁吁的說：我們有台服務器被阿里雲凍結了，理由：對外惡意發包。我放下酸菜餡的包子，ssh連了一下，被拒絕了，問了下默認的22端口被封了。讓運維 ...

周一早上剛到辦公室，就聽到同事說有一台服務器登陸不上了，我也沒放在心上，繼續邊吃早點，邊看幣價是不是又跌了。 不一會運維的同事也到了，氣喘吁吁的說：我們有台服務器被阿里雲凍結了，理由：對外惡意發包。 我放下酸菜餡的包子，SSH 連了一下，被拒絕了，問了下默認的 22 端口被封 ...

總體思路 確認問題與系統現象 → 取證清除與影響評估 → 系統加固 → 復盤整改 常見入侵 挖礦： Webshell： 內網入侵： 進程相關 1.查詢可疑端口、進程、ip：netstat -antlp | more 或者 netstat -anltp ...

是docker遠程服務入侵，所以就利用docker遠程服務和redis服務，模擬入侵了一次自己的服務器。 ...

5900端口是遠程控制軟件vnc的默認監聽端口。 1、收集IP信息： （1）獲取內網IP地址段，使用ping 內網系統的域名，得到內網IP地址段： 2）使用: nmap -sP 192.16 ...

/var/spool/cron 發現有一個定時任務，wget一個腳本 十分鍾執行一次 6，查看腳本文件 發 ...