应急响应-主机安全告警K8s恶意DNS请求排查
阅读更多k8s集群中某台主机请求恶意域名触发主机安全告警,但是排查发现被告警的是负责集群dns解析的主机,并发真正发起恶意请求的主机/容器。这类场景下如何才能快速排查出存在漏洞的业务或服务?
k8s场景下如何应急响应?
密码保护:MinerKiller 云上挖矿木马一键清理工具
冰蝎、哥斯拉 内存马应急排查
内存马的排查方式汇总。内存马的原理分析网上有很多文章,这里就不介绍了。通过实验分析如何在实战环境中快速定位内存马。
阅读更多应急响应-主机安全Agent oom排查
应急响应-php临时文件写入webshell排查分析
最近一次真实的应急场景,背景如下:
- 主机安全告警存在webshell。
- 木马文件名为php。同时/tmp目录下存在大量php临时文件。
- Nginx访问日志中存在大量扫描器流量,但木马文件生成时间未发现对应的异常请求。
- 该机器开通了waf,但扫描器的ip是被加白的(并非外网恶意扫描)。
密码保护:记一次Jenkins应急响应复盘
LogParser解析Windows系统日志常用SQL合集
阅读更多本文建议先把logparser添加到环境变量再配合powershell使用。
Linux审计工具auditd使用详解
