1.简介 向日葵工具具有linux桌面系统版本,在应急场景中,攻击者通过向日葵远控linux实现入侵是一种常见手法,通过分析向日葵的服务日志,可以分析出安全事件时间发生点前后有无向日葵远控的行为,但由于向日葵采取中转的第三方连接,而不是像ssh远控一样端到端的连接,所以无法溯源到真实IP. 2.日志路径 1.这里以我的mac系统为例子,通过菜单栏可以查看到log文件,选中view logs即可 2.找到服务日志文件,我这里是sunlogin_service.log 3.也可以通过find命令定位…

windows操作系统事件日志 C:\Windows\System32\winevt\Logs\ *( XP C:\Windows\System32) 应用程序日志 App Event.Evtx(Application.evtx) 安全日志 SecEvent.Evtx 系统日志 SysEvent.Evtx USB设备第一次连接电脑:setupapi.log Windows7/8:\Windows\inf\setupapi.dev.log \ Windows XP:\Windows\setupap…

1.环境部署 1.安装ubuntu_x64的deb安装包 2.打开TeamViewer 2.日志目录 1.通过图形应用找到日志文件 2.通过命令定位日志文件 find / -name "TeamViewer 2>/dev/null" 3.日志文件介绍 1.logfiles目录,对于可以进行图形界面登录的用户,在teamviewer目录下会有该用户的目录文件 2.这里关注Connecttions_incoming.txt文件,可以得到远程主机的teamviewer的id和用户名,登…

之前在centos中分析了/dev/sda1下的结构,但当对象是一块以芯片直读方式作出来的全盘镜像呢? 这次以安卓手机的全盘镜像为对象,尝试按照ext4文件系统结构手动解析,加强对ext4文件系统.EFI系统分区.GPT磁盘的理解,补充ext4文件系统的日志结构的描述. 我得到的全盘镜像有两种格式,一种.img,一种是.bin,两种镜像的组织方式是比较类似的,但可能因为是不同的直读机做出的原因,.img格式的镜像在"真正的数据"前附加了机器的标志信息. .bin格式镜像分析 .bin格…

0x00 概述 本文主要讲Kafka自身操作日志的清理方法(非Topic数据),Topic数据自己有对应的删除策略,请看这里. Kafka长时间运行过程中,在kafka/logs目录下产生了大量的kafka-request.log.*和server.log.*文件,其中*代表日期和时间,比如kafka-request.log.2018-12-08-03和server.log.2018-12-06-03,这些文件对磁盘空间的消耗非常大,需要定期备份或者清理.目前没有发现kafka自身提供了这些操作…

后渗透测试阶段--上传工具 为防止管理员将漏洞补上后,我们无法再通过该漏洞控制对方主机,所以需要进行后渗透测试阶段 1.上传各种工具 2.提权:为了全面控制目标系统 3.擦除攻击痕迹:防止管理员通过日志溯源追踪,发现攻击源头[除了系统日记,应用程序也会有自己的日志信息] ##删除系统日记和应用程序日记 例如:SLmail中 4.安装后门程序 实现长期控制,Dump密码,作为跳板进行内网渗透[大部分情况下,比公网渗透简单] 注:后渗透利用阶段 最大的挑战:防病毒软件[根据病毒特征库进行查杀].所以…

问题聚焦:     除了网络通信外,服务器程序通常还必须考虑许多其他细节问题,这些细节问题涉及面逛且零碎,而且基本上是模板式的,所以称之为服务器程序规范.     工欲善其事,必先利其器,这篇主要来探讨服务器程序的一些主要规范. 概览: Linux服务器程序一般以后台程序的形式运行,后台进程又称为守护进程. Linux服务器程序一般以某个专门的非root身份运行. Linux服务器程序通常是可配置的,命令行或者配置文件的形式. Linux服务器程序通常会在启动的时候生成一个PID文件,以记录该后…

问题聚焦:     除了网络通信外,服务器程序通常还必须考虑许多其他细节问题,这些细节问题涉及面逛且零碎,而且基本上是模板式的,所以称之为服务器程序规范.     工欲善其事,必先利其器,这篇主要来探讨服务器程序的一些主要规范. 概览: Linux服务器程序一般以后台程序的形式运行,后台进程又称为守护进程. Linux服务器程序一般以某个专门的非root身份运行. Linux服务器程序通常是可配置的,命令行或者配置文件的形式. Linux服务器程序通常会在启动的时候生成一个PID文件,以记录该后…

网站首页被非法篡改,是的,就是你一打开网站就知道自己的网站出现了安全问题,网站程序存在严重的安全漏洞,攻击者通过上传脚本木马,从而对网站内容进行篡改.而这种篡改事件在某些场景下,会被无限放大. 现象描述 网站首页被恶意篡改,比如复制原来的图片,PS一下,然后替换上去. 问题处理 1.确认篡改时间 通过对被篡改的图片进行查看,确认图片篡改时间为2018年04月18日 19:24:07 . 2.访问日志溯源 通过图片修改的时间节点,发现可疑IP:113.xx.xx.24 (代理IP,无法追溯真实来源…

0x00.前言: 如何知道自己所在的公司或单位是否被入侵了?是没人来“黑”,还是因自身感知能力不足,暂时还没发现?入侵检测是每个安全运维人员都要面临的严峻挑战.安全无小事,一旦入侵成功,后果不堪设想. 随着高危端口的加固,很多黑客直接可利用的漏洞攻击手法都会失效.但是web服务,不是所有的企业或单位都可以关掉的.于是,基于PHP.Java.ASP等动态的web服务漏洞就变成黑客入侵的主要入口. 比如,利用上传功能,直接上传一个WebShell,利用SQL注入直接将管理员的密码解析出来,利用暴力破…