写点什么

网络攻防学习笔记 Day61

发布于: 1 小时前
网络攻防学习笔记 Day61

针对 Linux 主机的排查,需要关注以下几点:系统信息、可疑文件、异常进程、后门情况等。

针对可疑文件可以使用 stat 详细查看创建的修改时间、访问时间,若修改时间距离事件日期接近,有线性关联,说明可能被篡改或者其他。


系统性能:top/free-m/df-h/du-sh

进程状态:psauxfww/lsof

网络状态:netstat-antup/lsof-Pni

文件修改:file/stat/find/strings

定时任务:crontab-l;cat/var/spool/cron/root;ls-ladtr/etc/cron*

分析攻击行为:cat ~/.bash_history

查看指定用户定时任务:crontab-l-u root

手动查看文件:/var/spool /cron/root/ etc/crontab /etc/cron.d/ /etc/cron.daily/ /etc/cron.hourly/

查找系统后门: chkrootkit rkhunter(www.chkrootkit.org/rkhunter.sourceforge.net)


atime:最近读取文件内容的时间

mtime:最近修改文件内容的时间

ctime:文件所有者、权限、时间戳发生改变的时间

修改文件内容一定会导致 mtime 及 ctime 发生改变,但是只修改文件属性并不会导致 mtime 发生改变,此时可以通过 ctime 判断文件属性修改时间,通常黑客伪造时间戳。


C2 服务器,指命令和控制服务器(Command-and-ControlServers,通常叫 C&C 或 C2 服务器)。


Indicator of Compromise(IOC),指威胁指标,IOC 可能是一个 MD5 值,一个 C2 域名或硬编码的 IP 地址,一个注册表项,特定的文件名等。


Indicator of Attack(IOA),指攻击指标,描述攻击者组织、手法(邮件钓鱼、0day 漏洞利用等)和攻击意图等。


勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式、弱口令爆破、smb 协议漏洞等方式进行传播。


日常针对蠕虫病毒的应急:一般分析出蠕虫病毒所属家族(可直接看加密文件扩展名或逆向分析),分析出蠕虫病毒具体功能(逆向和搜索引擎对比样本),并分析出蠕虫病毒传播感染源或后台服务器域名和 IP(分析网络设备日志、网络抓包、分析样本),研究解密可能性(逆向加解密机制的实现漏洞),研究利用漏洞的缓解措施和蠕虫传播阻断措施(逆向样本)。

发布于: 1 小时前阅读数: 4
用户头像

还未添加个人签名 2018.11.30 加入

还未添加个人简介

评论

发布
暂无评论
网络攻防学习笔记 Day61