1.深入分析,查找入侵原因 1.1 检查帐户和弱口令 1.查看服务器已有系统或应用帐户是否存在弱口令 检查说明:主要检查系统管理员帐户.网站后台帐户.数据库帐户以及其他应用程序(FTP.Tomcao.phpMyAdmin 等)帐户是否存在弱口令 检查方法:根据实际情况自行确认. 风险性:高 2.查看下服务器内是否有非系统和用户本身创建的帐户 检查说明:一般黑客创建的异常账户帐户名会在本地用户组显示出来 检查方法:打开 cmd 窗口,输入 lusrmgr.msc 命令,查看是否有新增的账号,如有管…

0x00 前言 当企业发生黑客入侵.系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失. 常见的应急响应事件分类: web入侵:网页挂马.主页篡改.Webshell 系统入侵:病毒木马.勒索软件.远控后门 网络攻击:DDOS攻击.DNS劫持.ARP欺骗 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Window服务器入侵排…

1 准备工作   检查人员应该可以物理接触可疑的系统.因为黑客可能侦测到你可以在检查系统,例如网络监听,所以物理接触会比远程控制更好. 为了当做法庭证据可能需要将硬盘做实体备份.如果需要,断开所有与可疑机器的网络连接. 做入侵检查时,检查人员需要一台PC对检查的过程进行检查项目的结果记录. 请维护可疑服务器人员或者PC使用人员来配合,来确定机器上运行的服务和安装的软件,便于安全检查人员提交检查的效率和准确性. 2 基本检查点   检测不正常账户 查找被新增的账号,特别是管理员群组的(Admini…

Meterpreter的简单介绍 Meterpreter 是MSF自带一个强大的SHELL,可以执行很多功能. Meterpreter SHELL 基本操作 meterpreter>background #session隐藏到后台 meterpreter>bgkill #杀掉后台的一个meterpreter meterpreter>bglist #列出后台的meterpreter meterpreter>bgrun #运行后台的一个meterpreter msf> sessi…

一, ping 用来检查网 络是否通畅或者网络连接速度的命令.作为一个生 活在网络上的管理员或者黑 客来说, ping 命令是第一个必须掌握的 DOS 命令,所利用的原理是这样的网络上的机器都有唯一确定的 IP 地址,给目标 IP 地址发送一个数据包,对方就要返回一个同样大小的数据包,根据返回的数据包我可以确定目标主机的存在可以初步判断目标主机的操作系统等.下面就来看看它一些常用的操作.先看看协助吧, DOS 窗口中键入: ping /? 回车,所示的协助画面.此,只掌握一些基本的很有用的参数就…

1.深入分析,查找入侵原因 1.1 检查隐藏账户及弱口令 1.1.1.检查服务器系统及应用账户是否存在弱口令 检查说明:检查管理员账户.数据库账户.MySQL账户.tomcat账户.网站后台管理员账户等密码设置是否较为简单,简单的密码很容易被黑客破解 解决方法:以管理员权限登录系统或应用程序后台,修改为复杂的密码 风险性:高 1.1.2.使用 last 命令查看下服务器近期登录的账户记录,确认是否有可疑IP登录过机器: 检查说明:攻击者或者恶意软件往往会往系统中注入隐藏的系统账户实施提权或其他破…

在日常繁琐的运维工作中,对linux服务器进行安全检查是一个非常重要的环节.今天,分享一下如何检查linux系统是否遭受了入侵? 一.是否入侵检查 1)检查系统日志 检查系统错误登陆日志,统计IP重试次数(last命令是查看系统登陆日志,比如系统被reboot或登陆情况) [root@bastion-IDC ~]# last 2)检查系统用户 查看是否有异常的系统用户 [root@bastion-IDC ~]# cat /etc/passwd 查看是否产生了新用户,UID和GID为0的用户 [r…

在日常繁琐的运维工作中,对linux服务器进行安全检查是一个非常重要的环节.今天,分享一下如何检查linux系统是否遭受了入侵? 一.是否入侵检查 1)检查系统日志 检查系统错误登陆日志,统计IP重试次数(last命令是查看系统登陆日志,比如系统被reboot或登陆情况) [root@bastion-IDC ~]# last 2)检查系统用户 查看是否有异常的系统用户 [root@bastion-IDC ~]# cat /etc/passwd 查看是否产生了新用户,UID和GID为0的用户 [r…

在日常繁琐的运维工作中,对linux服务器进行安全检查是一个非常重要的环节.今天,分享一下如何检查linux系统是否遭受了入侵? 一.是否入侵检查 1)检查系统日志 1 2 检查系统错误登陆日志,统计IP重试次数(last命令是查看系统登陆日志,比如系统被reboot或登陆情况) [root@bastion-IDC ~]# last 2)检查系统用户 1 2 3 4 5 6 7 8 9 10 11 12 13 14 查看是否有异常的系统用户 [root@bastion-IDC ~]# cat /…

文件排查 开机启动有无异常文件 msconfig 敏感的文件路径 %WINDIR% %WINDIR%\SYSTEM32\ %TEMP% %LOCALAPPDATA% %APPDATA% 用户目录 新建账号会在这个目录生成一个用户目录,查看是否有新建用户目录 Window 2003 C:\Documents and Settings Window 2008R2 C:\Users 回收站 浏览器下载记录/目录 浏览器历史记录 文件排查 临时文件目录 各个盘下的temp(tmp)相关目录下查看有无异常…