banner
lca

lca

真正的不自由,是在自己的心中设下牢笼。

应急响应

cover

应急响应一些心得

关注日志与文件 不仅要重视操作系统的日志,还需关注操作系统上的文件。应当全面排查,避免大意。许多攻击行为可能在日志中无法体现,例如攻击者上传的扫描工具(如 fscan),这些工具可能会残留在操作系统中。 分析 Linux 的历史命令 在 Linux 系统中,使用history命令…
cover
cover
cover
cover
cover
cover

Windows XML事件日志(EVTX)解析

evtx 日志描述 windows 下的 evtx 日志存放位置 Copy %SystemRoot%\System32\Winevt\Logs\ 主要日志包括应用程序、安全、系统日志等,日志默认大小 20484K(20M),超出的部分将覆盖过期的日志。 通过 windows…
cover
cover
cover

windows应急响应手册笔记记录

系统账号# 服务器是否存在弱口令(询问、工具爆破) 可疑账号  Copy lusrmgr.msc net user/wmic UserAccount get 隐藏账号  Copy HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users…
linux下应急响应(基础知识记录补充)
之前的文章【linux 下应急响应(基础知识记录)】,这是一篇补充性文章,两篇可结合使用,后面会补充更新。 帐号安全# linux 下攻击者一般不添加帐号,动作大 Copy who w uptime last 禁用或删除多余和可疑的帐号 Copy sudo usermod…
cover
cover
cover
cover
cover
cover
cover
cover
cover

linux下应急响应(基础知识记录)

查看 cpu 占用率 查看 cpu 占用率的目的是为了查清是哪个进程占用 cpu 过高 (针对挖矿) Copy top -c -o %CPU htop -t # 查看cpu占用前五的进程 ps -eo pid,ppid,%mem,%cpu,cmd --sort=-%cpu…
cover
cover
cover
cover
cover
cover
cover
cover
cover
cover
cover
cover
cover
cover
cover
cover
cover
cover
cover
cover
cover
cover
cover
cover
cover
cover
cover
cover
cover
cover

记一次linux下的应急响应

某同事在某单位遇到一个linux主机运行不正常,疑似服务器被植入恶意代码,叫我这边看下,当时同事了解到,由于服务器业务出现问题,导致客户登陆服务器查看情况,对异常进程进行查杀之后,恢复正常,但之后该进程又会重新启动。
ブログは、創作者によって署名され、ブロックチェーンに安全に保存されています。