应急基础
关注
分享
扫一扫
应急基础
FLy_鹏程万里
国内网络安全研究员,专注于Web渗透、移动安全、代码审计、应急响应、内网渗透、区块链安全、云安全等研究方向,擅长渗透测试、红蓝对抗、内网渗透、云安全、区块链安全。
展开
-
【应急基础】————1、定时任务
在应急响应中,最重要的一个点就是定时任务,例如Redis未授权通过持久化配置写入Crontab中。下面梳理一下定时任务相关的知识点:一般常用的定时任务crontab -l是用户级别的,保存在/var/spool/cron/{user},每个用户都可以通过crontab -e编辑自己的定时任务列表。而/etc/crontab是系统级别的定时任务,只有Root账户可以修改。另外在应急的时候需要留...转载 2019-02-22 16:28:09 · 826 阅读 · 0 评论 -
【应急基础】————9、快速抑制永恒之蓝传播的方法
摘要本文介绍如何在 SMB 客户端和服务器组件上启用和禁用服务器消息块 (SMB) 版本 1 (SMBv1)、SMB 版本 2 (SMBv2) 和 SMB 版本 3 (SMBv3)。警告:我们建议你不要禁用 SMBv2 或 SMBv3。 禁用 SMBv2 或SMBv3只能作为临时故障排除措施。 请勿使 SMBv2 或 SMBv3 保持禁用状态。在 Windows 7 和...转载 2019-03-01 09:25:18 · 1201 阅读 · 0 评论 -
【应急基础】————11、文件安全确定
情形在应急中遇到服务器不能拖入工具进行分析的情况下,又想确认文件是否安全,这就需要提取进程对应的PE文件hash然后去威胁情报平台进行确认。Ps:不能拖入工具的原因有很多,可能是服务器拖入数据拖出数据需要流程审批,可能是服务器已经被感染,可能是客户不允许这种操作,因此可以先了解一下现象后直接看看可疑进程、服务、启动项对应的一些程序文件。Windows中有很多办法来计算文件hash,...原创 2019-03-01 09:28:55 · 360 阅读 · 0 评论 -
【应急基础】————13、VBS遍历目录获取文件Hash
涉及到的代码:https://paste.ubuntu.com/p/7kV7C6xfnk/' ===================================================' VBS遍历目录、遍历进程获取hash' 基于wscript.shell、certutil,理论上支持Windows xp+ 系统' Code by Rvn0xsy, <Mail:rv...原创 2019-03-01 09:30:46 · 1087 阅读 · 0 评论 -
【应急基础】————12、Powershell获得未签名的进程路径
Powershell获得未签名的进程路径,代码如下:$Process = Get-WmiObject Win32_Process | Select Pathforeach($p in $Process){ if($p.Path -ne $null){ $Signa = Get-AuthenticodeSignature $p.Path if($Signa...原创 2019-03-01 09:29:34 · 393 阅读 · 0 评论 -
【应急基础】————10、windows补丁搜索网站
Windows补丁搜索网站当你在处理应急响应的时候,你也许碰到一些较新的windows漏洞被理由的情形,在这种情况下,你如何去为第三方提供安全的解决方案呢?Windows漏洞补丁查询网站可以帮助你解决这个问题!网站地址:http://www.catalog.update.microsoft.com/Home.aspx...原创 2019-03-01 09:26:55 · 486 阅读 · 0 评论 -
【应急基础】————8、辅助脚本
此脚本用于简化应急响应过程,主要是针对CentOS系统应急响应的一些基础项,如下所示:1)系统负载、内存占用、CPU使用率高的进程2)系统初始化调用3)定时任务4)监听端口、主动外连(高并发机器慎用)5)777目录下的可执行文件6)系统命令替换7)SSH登录成功和失败IP8)调用河马检测最近修改的jsp文件9)调用rkhunter查杀Rootkit脚本如下:...转载 2019-02-22 16:32:08 · 423 阅读 · 0 评论 -
【应急基础】安全应急响应工具年末大放送(含下载)
为了帮助安全分析师更好的完成工作,小编整理了一些现在比较流行的安全应急响应工具和资源,从磁盘镜像创建工具、内存分析工具到内存镜像工具、沙盒/逆向工具等,相信总有一款适合你。磁盘镜像创建工具GetData Forensic Imager - GetData Forensic Imager是一款基于Windows的程序,能对常见的取证文件格式进行捕获,转换或验证取证镜像。Guyma...转载 2019-02-22 16:31:36 · 1971 阅读 · 0 评论 -
【应急基础】————7、Tomcat日志如何记录POST数据
Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP 程序的首选。对于常使用web服务器的朋友肯定会了解,一般的web server有两部分日志:一是运行中的日志,它主要记录运行的一些信息,尤其是一些异常错误日志信息二是访问日志信息,它记录的访问的时间,IP,访问的资料等相关信息。...转载 2019-02-22 16:31:13 · 7293 阅读 · 0 评论 -
【应急基础】————6、命令大全
一、基础知识1、ls怎么按照时间排序列出当前目录文件?ls -lt 时间最近的在前面(降序) ls -ltr 时间从前到后(升序)2、stat命令是干啥的? 显示文件详细信息,访问时间、内容修改时间、状态修改时间3、lsof的作用是什么? 查看进程打开的文件,打开文件的进程,进程打开的端口(TCP\UDP) 详细内容可参考...原创 2019-02-22 16:30:53 · 1691 阅读 · 0 评论 -
【应急基础】————5、网站后门文件查找
1)记录文件stat信息,备份文件并删除 2)通过netstat -anltp命令可查看到当前连接信息及建立连接的进程pid,kill掉可疑连接的进程,且已知进程pid可以执行ls -al /proc/pid值 通过exe对应位置找到后门文件路径 3)通过ps aux命令检查是否存在其他可疑进程 4)查看后门内容找到连接的ip或域名(如...转载 2019-02-22 16:29:58 · 910 阅读 · 1 评论 -
【应急基础】————4、网站页面被篡改应急
1)找到被篡改页面,stat文件记录更改时间及用户等信息 2)将被篡改页面拷贝至其他非web目录,恢复正常页面 3)查看页面被篡改时间的accesslog,找出后门文件及操作ip(可能有多个ip访问后门,需要全部记录,重点记录第一个访问ip) 4)stat后门文件记录时间及操作用户等信息,备份文件至非web目录后删除 5)...转载 2019-02-22 16:29:51 · 1517 阅读 · 0 评论 -
【应急基础】————3、mount-bind隐藏端口和进程
创建文件夹挂不上,一想是因为前几天测试sudo提权的时候把selinux打开了然后再看一下,ps和netstat看不到了。大小变成了4096修复:检查mount:1)/proc/mounts2)/proc/$$/mountinfo[root@server120 tmp]# cat /proc/$$/mountinfo | grep 353...转载 2019-02-22 16:29:23 · 1258 阅读 · 0 评论 -
【应急基础】————2、开机启动项
在应急响应时,开机启动项是必查的项,下面梳理一下关于开机启动与服务相关需要排查的点。直接从init开始说。RHEL5、RHEL6、RHEL7的init系统分别为SysV init、Upstart、SystemdCentOS 5启动流程如下:1)加载BIOS的硬件信息与进行自我测试,并依据设置取得第一个可启动设备;2)读取并执行第一个启动设备内MBR(主引导分区)的Boot ...转载 2019-02-22 16:28:19 · 2022 阅读 · 0 评论 -
【应急基础】Linux下进程隐藏的方法及其对抗
0x00 背景在应急响应中,经常碰到ps命令和top命令查不到恶意进程(异常进程)的情况,会对应急响应造成很大的影响。轻则浪费时间,重则排查不出问题,让黑客逍遥法外。所以这篇博客研究学习如何对抗linux进程隐藏的手段。0x01 用户态隐藏这是一类简单的隐藏方法,同时也是相对容易破解的方法。1、命令替换替换ps、top、ls等命令的文件,破解方法很简单,查看文件修改时间和HAS...转载 2019-04-07 15:15:54 · 767 阅读 · 0 评论