Fly_鹏程万里

【应急场景】前段时间,某网站一直被网站管理员吐槽响应速度变得很慢，安全服务工程师小C接到用户反馈后就第一时间登录了服务器,发现服务器非常卡,虽然重启服务器就能保证一段时间的正常访问，但是网站响应状态时而飞快时而缓慢，快则1-2秒，慢则2分钟以上。小C针对网站服务器异常，把系统日志和网站日志作为排查处理的重点，他查看Window安全日志，发现大量登录失败的记录：到这里，小C知道下一步...

在政府、医院内网，依然存在着一些很古老的感染性病毒，如何保护电脑不受病毒感染，总结了几种预防措施0×00 前言        蠕虫病毒是一种十分古老的计算机病毒，它是一种自包含的程序（或是一套程序），通常通过网络途径传播，每入侵到一台新的计算机，它就在这台计算机上复制自己，并自动执行它自身的程序。常见的蠕虫病毒：熊猫烧香病毒 、冲击波/震荡波病毒、conficker病毒等。0×...

0x00 前言​ 勒索病毒，是一种新型电脑病毒，主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。自WannaCry勒索病毒在全球爆发之后，各种变种及新型勒索病毒层出不穷。0x01 应急场景​ 某天早上，网站管理员打开OA系统，首页访问...

0x00 前言​随着虚拟货币的疯狂炒作，挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一。病毒传播者可以利用个人电脑或服务器进行挖矿，具体现象为电脑CPU占用率高，C盘可使用空间骤降，电脑温度升高，风扇噪声增大等问题。0x01 应急场景​ 某天上午重启服务器的时候，发现程序启动很慢，打开任务管理器，发现cpu被占用接近100%，服务器资源占用严重。0x02 事件分析​ 登...

海峡信息白帽子id:Bypass 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时，急需第一时间进行处理，使企业的网络信息系统在最短时间内恢复正常工作，进一步查找入侵来源，还原入侵事故过程，同时给出解决方案与防范措施，为企业挽回或减少经济损失0×00 前言常见的应急响应事件分类：web入侵：网页挂马、主页篡改、Webshell系统入侵：病毒木马、勒索软件、远控后门...

0×0 背景随着主机安全的问题日渐突显，挖矿勒索后门等病毒隐蔽手法越来越多种多样，仅仅依靠传统的安全工具不能完全查杀出相关恶意程序。安全事件具有突发性，复杂性与专业性，基于windows的一些运行机制人工排查安全事件需要从多个方面去检查与清除，抛砖引玉提出以下思路供参考。0×1 检查思路恶意程序本身有网络行为，内存必然有其二进制代码，它要么是进程的 DLL /如此模块，通常为了保活，它...

网管同事反应Windows 2008 R2服务器上多了些exe文件，之前没怎么关注过Windows的监控。这台主机提供了Mssql和Mysql服务，是台DB服务器，当时由于交换机没有口了，所以配置了公网IP，前端没有硬件防火墙，网管只是启用了本机的windows防火墙，过滤了3389等敏感端口，但是445端口对外开放了。排查过程检查Mysql，发现有两个版本，一个5.1，一个5.7，且运...

查看表征异常系统卡慢、宕机、CPU和内存占用高、网络拥塞或断网、磁盘空余空间无理由大幅度缩小等，根据以上表征，可以初步猜测系统面临的问题。windows 下查看系统基本信息PS C:\Users\bobac\Desktop> systeminfowindows 下查看CPU和内存消耗根据下图可以进行倒序排列或者使用命令PS C:\Users\bo...