以下是我们在应急过程中的一些心得和一些深入的研究过程。本文兼顾新手和一些像我们在安全中摸爬滚打了一段时间的小白们。LMM级别的RootKit应急由于知识深度有限,暂时不在本文中体现。本文中提到的RootKit为应用级别的RootKit,一些文章介绍的检测方法可能发现不了所存在的问题。 传说中的三板斧:ps、netstat、top 这三条命令及其有用,简单一点的应急问题基本这三条命令就搞定了,我们逐条来说。 1 2 ps -ef ps aux 两条命令就搞定了 但至于那些是恶意进程和反…
以下是我们在应急过程中的一些心得和一些深入的研究过程。本文兼顾新手和一些像我们在安全中摸爬滚打了一段时间的小白们。LMM级别的RootKit应急由于知识深度有限,暂时不在本文中体现。本文中提到的RootKit为应用级别的RootKit,一些文章介绍的检测方法可能发现不了所存在的问题。 传说中的三板斧:ps、netstat、top 这三条命令及其有用,简单一点的应急问题基本这三条命令就搞定了,我们逐条来说。 1 2 ps -ef ps aux 两条命令就搞定了 但至于那些是恶意进程和反…
从大佬博客上复制的一些文章 总结一些常用的东西,寄希望用这篇博文分享一些安全工程师在处理应急响应时常见的套路,因为方面众多可能有些杂碎。 个人认为入侵响应的核心无外乎四个字,顺藤摸瓜。我们常常需要找到比较关键的信息后通过一些指令查询或者分析日志,逐步分析黑客的具体步骤。 入侵后需要被关注的Linux系统日志 1 var/log/cron 记录crontab命令是否被正确的执行,一般会被黑客删除 1 var/log/lastlog 记录登录的用户,可以使用命令lastlog查看,一般会被黑客删除…
行文目录如下: 1. 事件分类 常见的安全事件: Web入侵:挂马、篡改、Webshell 系统入侵:系统异常、RDP爆破、SSH爆破、主机漏洞 病毒木马:远控、后门、勒索软件 信息泄漏:刷裤、数据库登录(弱口令) 网络流量:频繁发包、批量请求、DDOS攻击 2. 排查思路 一个常规的入侵事件后的系统排查思路: 1. 文件分析 a) 文件日期、新增文件、可疑/异常文件、最近使用文件、浏览器下载文件 b) Webshell 排查与分析 c) 核心应用关联目录文件分析 2. 进程分析 a) 当前活动进程 & 远…
一、安装与启动 1. 安装 第一步:从http://mwr.to/drozer下载Drozer (Windows Installer) 第二步:在Android设备中安装agent.apk adb install agent.apk 2. 启动 第一步:在PC上使用adb进行端口转发,转发到Drozer使用的端口31415 adb forward tcp:31415 tcp:31415 第二步:在Android设备上开启Drozer Agent 选择embedded server…
今天用KALI,里面的burp软件实在是难搞啊,不如市面上的破解版好用啊!有木有? 接下来我就想把自己的burp替换到KALI里面,后来感觉这样挺费事的,干脆就直接写个引导吧 非常简单的操作,普及知识,这类方法适合所有的软件快捷。 首先将你的软件拷贝到KALI的任何一个文件夹内,如/opt/ 接着创建一个文件,路径在/usr/bin 1 2 3 4 vi /usr/bin/burp -->这个burp随便写,你想怎么设置快捷方式就怎么设置 #!/bin/bash java -jar /opt/b…
原来使用的2016.2版本的时候,设置更新源都是直接设置国内的源,比如阿里、中科大、清华。 但是在新版本的2017.1中可以直接设置官方源的地址,感觉速度上也没有慢多少 设置kali的更新源。 在终端中打开sources.list leafpad /etc/apt/sources.list 删除里面内容。 然后输入下面的更新源地址 deb http://http.kali.org/kali kali-rolling main non-free contrib 保存,推出,然…