10月 19, 2022 冰蝎、哥斯拉 内存马应急排查 作者 Zgao 在应急响应 内存马的排查方式汇总。内存马的原理分析网上有很多文章,这里就不介绍了。通过实验分析如何在实战环境中快速定位内存马。 阅读更多
8月 24, 2022 systemtap内核监控发起域名请求的进程 作者 Zgao 在应急响应 在日常的应急响应中经常会出现Linux主机发起恶意的dnslog请求,但是找不到对应触发的进程。在用户态下没有好的监控方式,这里用到systemtap来通过内核的方式监控。 阅读更多
8月 16, 2022 应急响应-php临时文件写入webshell排查分析 作者 Zgao 在应急响应 php高并发post写入webshell,本地复现 最近一次真实的应急场景,背景如下: 主机安全告警存在webshell。木马文件名为php。同时/tmp目录下存在大量php临时文件。Nginx访问日志中存在大量扫描器流量,但木马文件生成时间未发现对应的异常请求。该机器开通了waf,但扫描器的ip是被加白的(并非外网恶意扫描)。 阅读更多