冰蝎、哥斯拉 内存马应急排查
内存马的排查方式汇总。内存马的原理分析网上有很多文章,这里就不介绍了。通过实验分析如何在实战环境中快速定位内存马。
阅读更多应急响应-主机安全Agent oom排查
systemtap内核监控发起域名请求的进程
在日常的应急响应中经常会出现Linux主机发起恶意的dnslog请求,但是找不到对应触发的进程。在用户态下没有好的监控方式,这里用到systemtap来通过内核的方式监控。
阅读更多应急响应-php临时文件写入webshell排查分析
最近一次真实的应急场景,背景如下:
- 主机安全告警存在webshell。
- 木马文件名为php。同时/tmp目录下存在大量php临时文件。
- Nginx访问日志中存在大量扫描器流量,但木马文件生成时间未发现对应的异常请求。
- 该机器开通了waf,但扫描器的ip是被加白的(并非外网恶意扫描)。
密码保护:记一次Jenkins应急响应复盘
LogParser解析Windows系统日志常用SQL合集
阅读更多本文建议先把logparser添加到环境变量再配合powershell使用。
Linux审计工具auditd使用详解
