当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作。进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 安全事件分类 Web入侵:挂马、篡改、Webshell 系统入侵:系统异常、RDP爆破、SSH爆破、主机漏洞 病毒木马:远控、后门、勒索软件 信息泄漏:脱裤、数据库登录(弱口令) 网络流量:频繁发包、批量请求、DDOS攻击 首先是对入侵的安全事件进行分类,确认安全事件属于哪类入侵,然后用相应的…
背景 2021年5月7日,美国最大的燃油管道商Colonial Pipeline遭到勒索软件攻击,由于Colonial Pipeline负责美国东岸多达45%的燃料供应,因此该攻击事件导致该公司暂停了所有的管道作业网络,并于晚间关闭一条主要的燃料传输管道。 2021年5月9日,美国交通部下属的联邦汽车运输安全管理局发布了一份区域紧急状态声明。根据美国交通运输部称,临时给予受影响的 17 个州和华盛顿特区的汽油、柴油、航空燃料和其他成品油的临时运输豁免,以使有关燃料可以通过公路运输,从而减轻Colonial Pipe…
护网就像期末考试一样,平时没怎么上心的学生,考试最怕挂科。学生时代,考前会恳求老师划重点,临时抱佛脚,好在考试中及格。临近护网,做好这三点,能够让我们顺利度过护网,取得好成绩。 考前一周 从接到护网通知,到护网开始,一般会有一周的时间,可以给护网的同学们做准备。这一周是临时抱佛脚的时间,学霸们可能没这样的经历,对于“学渣”来说,考前复习,没时间一点一点看知识点,主要根据考试内容做准备。护网前期一周,怎么开始“复习”呢?“学渣”们赶快看过来。 互联网资产发现 往年护网经验来看,很多被打穿的单位,不是通过…
最近发现一些单位的服务器感染勒索病毒,然后通过共享文件夹等方式方法继续传播感染及局域网中的其他服务器,导致这些服务器上重要的文件都被加密,给单位造成重大的损失,带来比较严重的后果。 经过分析,勒索病毒一般是通过但不限于RDP或其他漏洞感染,通过共享文件夹传播。为了减少感染勒索病毒的风险,建议以下几点。 (1)不在服务器上访问外网。如果有必要,设置防火墙策略,禁止服务器访问外网。如果服务器需要安装最新的补丁,可以配置内部的WSUS升级服务器,让服务器从内部的WSUS服务器更新。 (2)服务器卸载不必要的软件,只安装需…
应急响应的时候,我们需要判断一个系统是否有被黑客入侵,本篇给大家介绍一些在应急响应时Windows入侵检查的一些知识点。 检查概述 由于无法站在攻击者视角审视其做过哪些攻击行为,因此标准化的检查内容可以规避非标准化的风险。例如操作系统虽然没有异常登录日志,但如果不检查操作系统用户即会存在遗漏从而产生风险,同时也可规避上次检查ab内容,本次检查bc内容的非标准化风险。 因此无论每个人的标准是否统一,取长补短逐渐完善自己的标准化是建议进行的。 windows操作系统入侵检查流程图如下所示: 现象检查 可通过监测告警、日…
黑客技术——ipc$命令所使用的端口 首先我们来了解一些基础知识: 1.SMB:(Server Message Block) Windows协议族,用于文件打印共享的服务; 2.NBT:(NETBios Over TCP/IP)使用137(UDP)138(UDP)139(TCP)端口实现基于TCP/IP协议的NETBIOS网络互联。 3.在WindowsNT中SMB基于NBT实现,即使用139(TCP)端口;而在Windows2000中,SMB除了基于NBT实现,还可以直接通过445端口实现。 有了这些基础知识,我…
一. AES对称加密: AES加密 分组 二. 分组密码的填充 分组密码的填充 PKCS#5填充方式 三. 流密码: 四. 分组密码加密中的四种模式: 3.1 ECB模式 优点: 1.简单; 2.有利于并行计算; 3.误差不会被传送; 缺点: 1.不能隐藏明文的模式; 2.可能对明文进行主动攻击; 3.2 CBC模式: 优点: 1.不容易主动攻击,安全性好于ECB,适合传输长度长的报文,是SSL、IPSec的标准。 缺点: 1.不利于并行计算; 2.误差传递; 3.需要初始化向量IV 3…
