一、事件发生背景办事处部署的TAR产生挖矿告警，如下图（1）TAR挖矿告警所示。告警显示是售前用来存储文件的服务器（IP：10.33.15.240）中了CoinMiner挖矿病毒。图（1）TAR挖矿告警二、初步...

0x00前言网络安全应急响应考验一个人的综合技术能力和临场应变能力，关于应急响应的技术分析、处置流程和案例分析已不胜枚举，无须再赘述。本文主要从已处置的大大小小上百次应...

1.概述接到通知某单位中了挖矿病毒被通告了需要去应急排查中毒主机。 2.排查思路根据通告信息中的地址，询问客户，发现其中的地址信息是路由器的地址。查看配置是因为在出口路...

  一、系统用户信息收集 确定系统中是否有一个看起来可疑的用户 Cat/etc/passwd 查看用户密码信息，且只有root用户可以查看。 cat /etc/shadow 查看用户组信息 cat/etc/g...

  目标：通过数据分析确定攻击事件、查找攻击线索、梳理攻击流程、在可能的情况下，溯源到对方。 数据分析技术—系统信息分析   01 windows用户信息收集 系统用户： 1.lusrmg...

  1.网络安全的特性 整体性：业务与利益相关 动态性：技术不断发展 开放性：没有物理边界 相对性：没有绝对的安全   2.网络应急响应： 定义：在对网络安全态势、组织的网络系统运行...

  前言： 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时，急需第一时间进行处理，使企业的网络信息系统在最短时间内恢复正常工作，进一步查找入侵来源，还原入...

  一、应急响应： 概念： 一般情况下，各种木马，病毒等恶意程序，都会在计算机开机启动过程中启动。 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时，急需第一时...

攻击者攻击网站的简易流程：信息探测->注入/xss点->获取数据->破解密码->登陆后台->上传webshell->提权控制服务器->渗透内网webshell在攻击过程中的作用文件操作,命令执行,...

应急响应（Incident Response Service，IRS）是当企业系统遭受病毒传播、网络攻击、黑客入侵等安全事件导致信息业务中断、系统宕机、网络瘫痪，数据丢失、企业声誉受损，并对组织和业...

1.1 情况简介上午接到用户反映域控服务器被态势感知设备监测到存在恶意域名解析行为，且被态势感知定义为已失陷并感染病毒对外传播。现场登录域控服务器进行排查未发现可疑进...

首先我们先了解下什么是ADS隐藏说到ADS就肯定要了解什么是NTFS（文件系统不过多说明）。NTFS交换数据流有一定的隐蔽性，这让一些恶意软件有了可趁之机，通过ADS将自己隐藏起来，从此...

1.1 情况简介某日接到用户电话，用户某应用系统微信公众号平台服务器应用运行异常掉线卡顿，运维人员检查后发现服务器存在占用大量CPU资源的恶意进程，且无法清除该进程，导致WEB应...

起因我有一个朋友。。。 过程按照这个密码，我觉得90%的可能是被爆破了。随即登录进行排查。1. 登录行为定位 通过history发现在扫描全网3389： 看到此处使用yum安装了masscan...

一.应急响应体系背景欧盟对网络安全的重视由来已久，早在2004年3月，为提高欧共体范围内网络安全的级别，提升欧共体、成员国以及业界团体对于网络安全问题的防范、处理和响应能力...

1 web日志检查讲解：web访问日志记录客户端访问服务端指定资源的关键信息，通过如下日志示例我们可以得知访问者的ip地址在什么时间通过哪种http请求方式使用了什么浏览器访问了...

概述当黑客获取系统 root 权限时，为了实现持久化控制往往会创建隐藏恶意进程，这给应急响应人员取证的时候带来了难度，隐藏进程的方法分为两类，一类是用户态隐藏，另一类是内核态隐...

经常会有一些小伙伴问：中了勒索病毒，该怎么办，可以解密吗？第一次遇到勒索病毒是在早几年的时候，客户因网站访问异常，进而远程协助进行排查。登录服务器，在站点目录下发现所有的脚本...

当网站服务器被入侵时，我们需要一款Webshell检测工具，来帮助我们发现webshell，进一步排查系统可能存在的安全漏洞。本文推荐了10款Webshll检测工具，用于网站入侵排查。当然，目前...

背景1.  某网站出现weblogic多次服务停止事件，时间分别为：（2018年1月2日：9点、14点、15点。1月3日：9点、14点，具体时间无）。2. 网站方提供恶意代码附件”恶意代码.txt”，该恶意代码...

背景客户的监控系统发现有异常行为，我临时顶替应急的同事处理一下。连接到服务器，首先通过ps auxef 和 netstat -tulnp两个命令查看异常进程信息，果然发现了两个异常进程 xmp...

2019年谷安学院CISP-PTE认证培训，在北京、上海、广州、深圳、成都、杭州等地共开了21期班，每期学员全场满座，学员整体通过率高达98%以上。谷安学院拥有CISP-PTE资深持证讲师，结...

12月20日，“2019年度工业信息安全产业发展联盟年会”在北京顺利召开。为贯彻落实《工业控制系统信息安全事件应急管理工作指南》要求，按照《工业信息安全应急服务支撑单位管理...

谷安学院于2019年11月25日-12月2日，在北京圆满结束了CISP-IRE第二期认证培训。此次培训，八天面授，第九天安排了考试，在此预祝本期学员取得好成绩，保持首期100%的通过率！本期参加...

一、概述1.1 概述前段时间遇到一起案例，主要是通过powershell进行挖矿的，使用该技术来进行挖矿的案例非常之多，但是个人感觉还是可以总结与分析一波，可以对这种技术进行详细分析...

9月开学季，万兽归笼，普天同庆你的钱包还瘪吗？***余额还足吗？ 计划考的证书行动了吗？CISP-IRE（注册应急响应工程师认证）想免培训费吗？6000元CISP-IRE学习基金想免费领吗？动起来！机会来...

混安全圈的都知道CISP（国家注册信息安全专业人员）、CISP-PTE（国家注册渗透测试工程师），与此同时CISP-IRE（国家注册应急响应工程师）也火热的呈现在安全领域，这三者之前的区别是什么？获...

奇安信安服团队 主要观点* 2019年上半年奇安信集团安服团队应急响应服务需求同比2018年上半年增长近69%。针对各政府机构、大中型企业的攻击从未停止过，反呈愈演愈烈之势...

7月18日，“2019第十六届中国网络安全年会” 在广州圆满落幕。绿盟科技受邀参加本届大会，并在“网络安全应急响应论坛”做主题演讲。据悉，中国网络安全年会已经连续举办了十五届...

又是一个风和日丽的下午,姜老师发了一张图。是一个系统进程的截图。赫然在目一个看起来命名很随便的一个进程名，很轻浮。姜老师作为一个老江湖，怎么就能让这么一个不正经的程...