随笔分类 -  应急响应

摘要:在以前,蜜罐是用来抓熊的。通过伪装成“食物”引诱熊前来享用,最后猎人再将熊一举拿下。 到了今天,蜜罐技术已经成为网络安全中的一种入侵诱饵,目的是引诱黑客前来攻击,并收集黑客相关的证据和信息。 所以蜜罐存在的意义就是——被攻击、被探测、被攻陷… 蜜罐分类: 以下内容翻译自维基百科。Honeypot ( 阅读全文
posted @ 2022-04-19 21:56 星火撩原 阅读(416) 评论(0) 推荐(0) 编辑
摘要:你是某一个网站的管理员,有一天,你的管理员账号admin却登录不了,进入数据库查看,原来管理员账号用户名不存在了,却多了另外一个管理员用户名。不对,不是新增了管理员,而是你的管理员用户名被篡改了。 现象描述 前后端分离,后台只允许内网访问,管理员账号admin却依然被多次被篡改 问题处理 1、网站w 阅读全文
posted @ 2021-04-30 09:22 星火撩原 阅读(46) 评论(0) 推荐(0) 编辑
摘要:网站首页被非法篡改,是的,就是你一打开网站就知道自己的网站出现了安全问题,网站程序存在严重的安全漏洞,攻击者通过上传脚本木马,从而对网站内容进行篡改。而这种篡改事件在某些场景下,会被无限放大。 现象描述 网站首页被恶意篡改,比如复制原来的图片,PS一下,然后替换上去。 问题处理 1、确认篡改时间 通 阅读全文
posted @ 2021-04-30 09:19 星火撩原 阅读(75) 评论(0) 推荐(0) 编辑
摘要:PC端访问正常,移动端访问出现异常,比如插入弹窗、嵌入式广告和跳转到第三方网站,将干扰用户的正常使用,对用户体验造成极大伤害。 现象描述 部分网站用户反馈,手机打开网站就会跳转到别的网站。 问题处理 访问网站首页,抓取到了一条js: http://js.zadovosnjppnywuz.com/ca 阅读全文
posted @ 2021-04-30 09:15 星火撩原 阅读(23) 评论(0) 推荐(0) 编辑
摘要:新闻源网站一般权重较高,收录快,能够被搜索引擎优先收录,是黑灰产推广引流的必争之地,很容易成为被攻击的对象。被黑以后主要挂的不良信息内容主要是博彩六合彩等赌博类内容,新闻源网站程序无论是自主开发的还是开源程序,都有被黑的可能,开源程序更容易被黑。 现象描述: 某新闻源网站首页广告链接被劫持到菠菜网站 阅读全文
posted @ 2021-04-30 09:12 星火撩原 阅读(21) 评论(0) 推荐(0) 编辑
摘要:作为一个网站管理员,你采用开源CMS做网站,比如dedecms,但是有一天,你忽然发现不知何时,网站的友情链接模块被挂大量垃圾链接,网站出现了很多不该有的目录,里面全是博彩相关的网页。而且,攻击者在挂黑页以后,会在一些小论坛注册马甲将你的网站黑页链接发到论坛,引爬虫收录。在搜索引擎搜索网站地址时,收 阅读全文
posted @ 2021-04-30 09:10 星火撩原 阅读(70) 评论(0) 推荐(0) 编辑
摘要:门罗币(Monero 或 XMR),它是一个非常注重于隐私、匿名性和不可跟踪的加密数字货币。只需在网页中配置好js脚本,打开网页就可以挖矿,是一种非常简单的挖矿方式,而通过这种恶意挖矿获取数字货币是黑灰色产业获取收益的重要途径。 现象描述 利用XMR恶意挖矿,会大量占用用户的CPU资源,严重影响了网 阅读全文
posted @ 2021-04-30 09:07 星火撩原 阅读(187) 评论(0) 推荐(0) 编辑
摘要:网站被植入webshell,意味着网站存在可利用的高危漏洞,攻击者通过利用漏洞入侵网站,写入webshell接管网站的控制权。为了得到权限 ,常规的手段如:前后台任意文件上传,远程命令执行,Sql注入写入文件等。 现象描述 网站管理员在站点目录下发现存在webshell,于是开始了对入侵过程展开了分 阅读全文
posted @ 2021-04-30 09:05 星火撩原 阅读(71) 评论(0) 推荐(0) 编辑
摘要:现象描述 某服务器网络资源异常,感染该木马病毒的服务器会占用网络带宽,甚至影响网络业务正常应用。 系统分析 针对日志服务器病毒事件排查情况: 在开机启动项/etc/rc.d/rc.local发现可疑的sh.sh脚本,进一步跟踪sh.sh脚本,这是一个检测病毒十分钟存活的脚本。 在root目录下发现存 阅读全文
posted @ 2021-04-29 16:59 星火撩原 阅读(88) 评论(0) 推荐(0) 编辑
摘要:前言 ​ Linux盖茨木马是一类有着丰富历史,隐藏手法巧妙,网络攻击行为显著的DDoS木马,主要恶意特点是具备了后门程序,DDoS攻击的能力,并且会替换常用的系统文件进行伪装。木马得名于其在变量函数的命名中,大量使用Gates这个单词。分析和清除盖茨木马的过程,可以发现有很多值得去学习和借鉴的地方 阅读全文
posted @ 2021-04-29 16:54 星火撩原 阅读(176) 评论(0) 推荐(0) 编辑
摘要:前言 ​ 随着虚拟货币的疯狂炒作,利用挖矿脚本来实现流量变现,使得挖矿病毒成为不法分子利用最为频繁的攻击方式。新的挖矿攻击展现出了类似蠕虫的行为,并结合了高级攻击技术,以增加对目标服务器感染的成功率,通过利用永恒之蓝(EternalBlue)、web攻击多种漏洞(如Tomcat弱口令攻击、Weblo 阅读全文
posted @ 2021-04-29 16:51 星火撩原 阅读(535) 评论(0) 推荐(0) 编辑
摘要:前言 ​ 短连接(short connnection)是相对于长连接而言的概念,指的是在数据传送过程中,只在需要发送数据时,才去建立一个连接,数据发送完成后,则断开此连接,即每次连接只完成一项业务的发送。 在系统维护中,一般很难去察觉,需要借助网络安全设备或者抓包分析,才能够去发现。 应急场景 ​ 阅读全文
posted @ 2021-04-29 16:50 星火撩原 阅读(40) 评论(0) 推荐(0) 编辑
摘要:前言 ​ SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议,主要用于给远程登录会话数据进行加密,保证数据传输的安全。SSH口令长度太短或者复杂度不够,如仅包含数字,或仅包含字母等,容易被攻击者破解,一旦被攻击者获取,可用来直接登录系统,控制服务器所有权限。 应急场景 ​ 某天,网 阅读全文
posted @ 2021-04-29 16:35 星火撩原 阅读(120) 评论(0) 推荐(0) 编辑
摘要:攻击者在入侵网站时,通常要通过各种方式写入Webshell,从而获得服务器的控制权限,比如执行系统命令、读取配置文件、窃取用户数据,篡改网站页面等操作。 本文介绍十款常用的Webshell管理工具,以供你选择,你会选择哪一个? 1、中国菜刀(Chopper) 中国菜刀是一款专业的网站管理软件,用途广 阅读全文
posted @ 2021-04-29 16:10 星火撩原 阅读(254) 评论(0) 推荐(0) 编辑
摘要:前言 在渗透测试中,有三个非常经典的渗透测试框架 Metasploit、Empire、Cobalt Strike。 那么,通过漏洞获取到目标主机权限后,如何利用框架获得持久性权限呢? 0x01 MSF权限维持 使用MSF维持权限的前提是先获得一个meterpreter shell,通过meterpr 阅读全文
posted @ 2021-04-29 16:07 星火撩原 阅读(133) 评论(0) 推荐(0) 编辑
摘要:当我们通过Web渗透获取了一个Shell,而且目标主机是Windows,我们该怎么去下载后门文件到目标主机上执行呢? 一般来说,实现Windows文件下载执行的方式不外乎以下几种方式。第一种,远程下载文件到本地,然后再执行;第二种,远程下载执行,执行过程没有二进制文件落地,这种方式已然成为后门文件下 阅读全文
posted @ 2021-04-29 16:03 星火撩原 阅读(10241) 评论(0) 推荐(1) 编辑
摘要:本文将对Linux下常见的权限维持技术进行解析,知己知彼百战不殆。 1、一句话添加用户和密码 添加普通用户: # 创建一个用户名guest,密码123456的普通用户 useradd -p `openssl passwd -1 -salt 'salt' 123456` guest # useradd 阅读全文
posted @ 2021-04-29 15:58 星火撩原 阅读(479) 评论(0) 推荐(0) 编辑
摘要:前言 攻击者在获取服务器权限后,会通过一些技巧来隐藏自己的踪迹和后门文件,本文介绍Linux下的几种隐藏技术。 隐藏文件 Linux 下创建一个隐藏文件:touch .test.txt touch 命令可以创建一个文件,文件名前面加一个 点 就代表是隐藏文件,如下图: 一般的Linux下的隐藏目录使 阅读全文
posted @ 2021-04-29 15:37 星火撩原 阅读(313) 评论(0) 推荐(0) 编辑
摘要:关键词:Windows系统后门、权限维持 在获取服务器权限后,通常会用一些后门技术来维持服务器权限,服务器一旦被植入后门,攻击者便如入无人之境。本文将对常见的window服务端自启动后门技术进行解析,知己知彼方能杜绝后门。 0x01 注册表自启动 通过修改注册表自启动键值,添加一个木马程序路径,实现 阅读全文
posted @ 2021-04-29 15:31 星火撩原 阅读(200) 评论(0) 推荐(0) 编辑
摘要:前言 攻击者在获取服务器权限后,通常会用一些后门来维持权限,如果你想让你的后门保持的更久些,那么请隐藏好它,使之不易被管理员发现。 隐藏文件 1、利用文件属性 最简单的一种隐藏文件的方式,文件右键属性,勾选隐藏,点击确定后,在这个文件里看不到刚刚的文件了。 如果要让文件显示出来,就点击查看,勾选显示 阅读全文
posted @ 2021-04-29 15:27 星火撩原 阅读(197) 评论(0) 推荐(0) 编辑

点击右上角即可分享
微信分享提示