Everything 在应急响应中的使用
在入侵排查过程中,检索最近的文件变动是非常重要的一个步骤。而Windows中并没有像Linux那样的find命令可以支持查找指定时间段内变动的文件。而命令行的everything(es)的出现刚好弥补了Windows命令行文件查找的功能。
阅读更多应急响应-主机安全告警K8s恶意DNS请求排查
阅读更多k8s集群中某台主机请求恶意域名触发主机安全告警,但是排查发现被告警的是负责集群dns解析的主机,并发真正发起恶意请求的主机/容器。这类场景下如何才能快速排查出存在漏洞的业务或服务?
k8s场景下如何应急响应?
密码保护:MinerKiller 云上挖矿木马一键清理工具
冰蝎、哥斯拉 内存马应急排查
内存马的排查方式汇总。内存马的原理分析网上有很多文章,这里就不介绍了。通过实验分析如何在实战环境中快速定位内存马。
阅读更多应急响应-主机安全Agent oom排查
systemtap内核监控发起域名请求的进程
在日常的应急响应中经常会出现Linux主机发起恶意的dnslog请求,但是找不到对应触发的进程。在用户态下没有好的监控方式,这里用到systemtap来通过内核的方式监控。
阅读更多应急响应-php临时文件写入webshell排查分析
最近一次真实的应急场景,背景如下:
- 主机安全告警存在webshell。
- 木马文件名为php。同时/tmp目录下存在大量php临时文件。
- Nginx访问日志中存在大量扫描器流量,但木马文件生成时间未发现对应的异常请求。
- 该机器开通了waf,但扫描器的ip是被加白的(并非外网恶意扫描)。