应急响应
关注
分享
扫一扫
Secguard
信息安全守卫者!!!
展开
-
Docker Remote API 未授权访问导致挖矿病毒入侵
运维同事反映一台阿里云测试机,反映很慢,除了跑一些docker容器,没有其他服务。ps -ef查看当前进程,发现存在多个cryptonight加密货币的挖矿进程,分别为proc, thisxxs, xmrig:对这些进程的所在路径进行排查,使用lsof工具查看它们打开的文件:进程所使用的文件都已经找不到,初步判断是被删除。换个思路(中间尝试过各种假设)扫描该服务器,发现开放...原创 2019-06-09 12:35:13 · 2709 阅读 · 1 评论 -
从入侵排查中发现的主要WEB后门扫描工具无法识别的WebShell
背景:早上发现安全监控系统告警,某服务器存在Webshell访问这个后门(shopex4s7.php),吓我一跳,我胆小啊:查看该后门创建及访问时间:锁定攻击ip与访问时间,发现了另一个新的后门链接:接着溯源发现攻击者通过某个富文本编辑器上传的后门,备份清理后门,堵上漏洞。。。。重点来了:访问该大马anchor.php,功能很强大:问题是,主机入侵检测系...原创 2019-06-20 19:34:09 · 993 阅读 · 0 评论