系统入侵排查

最新推荐文章于 2025-09-24 11:22:15 发布
原创 最新推荐文章于 2025-09-24 11:22:15 发布 · 1.9k 阅读 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
cknow-ai 程序员--青青

cknow-ai 关注

标签
#web安全 #安全 #数据库 #php
分类 信息安全与密码学

系统入侵排查

当设备遭到入侵后,我们该如何排查可疑程序和进程呢?本文将为你介绍在WindowsLinux系统中常用的排查方法。

Windows系统

对于windows系统。我们优先考虑通过各种杀毒软件进行杀毒扫描。当然如何shell是免杀的话,我们只能进行手动排查!

🥳查看账号

攻击者为了方便登录系统。往往会給自己添加相应的账号,并且有些账号可能是隐藏账号。

🐼普通账号

首先win+r输入下面命令

lusrmgr.msc

🌈隐藏账号

win`+`r`输入`regedit`查看`HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users

图片

🍓系统日志分析
win`+`r`输入`eventvwr.msc` -> `windows日志

图片

✈️排查网络与端口

如何设备遭到入侵,哪么设备和攻击者之间肯定会建立通信。这时我们可以检查可疑的IP和端口。

netstat -ano

图片

⚽排查恶意进程
tasklist

图片

🎧检查自启动

win+r输入msconfig,查看自启动服务。

🍺检查计划任务
schtasks

图片

🚀最近打开文件
win`+`r`输入`%UserProfile%\Recent

图片

Linux系统

对于Linux系统,排查难度和Windows相比难度略有提升。在使用安全狗 D盾 云锁等常规WAF无果的情况下。我们可以手动进行排查。

🚸历史执行命令记录

在Linux中,我们可以查看执行各种命令的历史记录。

history

图片

🪤检查定时任务
ls /etc/cron*

图片

❄️查看用户
cat /etc/passwd
🍀查看登录及重启记录
last

图片

🏓网络与端口
netstat -alntp

图片

🍑查看进程
ps -aux

图片

🥳查看自启程序
ls –alt /etc/init.d/

图片

总结

相对于各种服务器厂商,我觉得目前做的还是特别好。如阿里云和腾讯云。一旦服务器有异常,会第一时间通知管理员。当然很多安全产品需要大量的经济支持。

学习网络安全技术的方法无非三种:

第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。

第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

第三种就是去找培训。

image.png

接下来,我会教你零基础入门快速入门上手网络安全。

网络安全入门到底是先学编程还是先学计算机基础?这是一个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说,学习编程或者计算机基础对他们来说都有一定的难度,并且花费时间太长。

第一阶段:基础准备 4周~6周

这个阶段是所有准备进入安全行业必学的部分,俗话说:基础不劳,地动山摇
image.png

第二阶段:web渗透

学习基础 时间:1周 ~ 2周:

① 了解基本概念:(SQL注入、XSS、上传、CSRF、一句话木马、等)为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透,学一学案例的思路,每一个站点都不一样,所以思路是主要的。
③ 学会提问的艺术,如果遇到不懂得要善于提问。
image.png

配置渗透环境 时间:3周 ~ 4周:

① 了解渗透测试常用的工具,例如(AWVS、SQLMAP、NMAP、BURP、中国菜刀等)。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景,懂得基本的使用,推荐在Google上查找。

渗透实战操作 时间:约6周:

① 在网上搜索渗透实战案例,深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试,推荐DWVA,SQLi-labs,Upload-labs,bWAPP。
③ 懂得渗透测试的阶段,每一个阶段需要做那些动作:例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入,寻找绕过waf的方法,制作自己的脚本。
⑤ 研究文件上传的原理,如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用(IIS、Nignix、Apache)等,参照:上传攻击框架。
⑥ 了解XSS形成原理和种类,在DWVA中进行实践,使用一个含有XSS漏洞的cms,安装安全狗等进行测试。
⑦ 了解一句话木马,并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限,Google关键词:提权
image.png
以上就是入门阶段

第三阶段:进阶

已经入门并且找到工作之后又该怎么进阶?详情看下图
image.png

给新手小白的入门建议:
新手入门学习最好还是从视频入手进行学习,视频的浅显易懂相比起晦涩的文字而言更容易吸收,这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦!

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

点赞 点赞 24
评论 0
书签 书签 26
vite-certificate:为vite的https开发服务提供证书
04-01
证书 为vite的https dev服务提供证书。
Windows 系统入侵排查
qq_73611706的博客
12-05 2276
Log Parser(是微软公司出品的日志分析工具,它功能强大,使用简单,可以分析基于文本的日志文件、XML 文件、CSV(逗号分隔符)文件,以及操作系统的事件日志、注册表、文件系统、Active Directory。而与此同时操作系统也会出现异常,包括账户、端口、进程、网络、启动、服务、任务以及文件等,系统运维人员可以根据以上异常情况来知道攻击者从何处入侵、攻击者以何种方式入侵以及攻击者在入侵后做了什么这几个问题的答案,从而为之后的系统加固、安全防护提供针对性建议。安全日志也是调查取证中最常用到的日志。
Linux下如何发现系统入侵的十种方法
BBM的博客
12-14 3041
etc/shadow文件是Unix和Linux操作系统中的一个关键文件,它存储了用户账号的密码 Hash、密码过期信息以及其他与密码安全相关的数据。默认情况下,"last" 使用的是 /var/log/wtmp 或类似的文件,具体取决于操作系统。随着Linux内核的发展,一些新的接口和信息被移到了/sys文件系统中,/sys提供了更结构化和层次化的访问方式,特别是对于设备和模块的信息。每个正在运行的进程在/proc下都有一个以其PID(进程标识符)命名的子目录,例如 /proc/1234。
Uni-app 实现md5加密
ksws01的博客
12-12 8305
参照博客写下这篇文章,记录自己走过的坑 uni-app如何进行md5加密
Vite 开启本地 https 服务
qq_40868156的博客
07-21 6312
vite, 开启本地 https 服务,启用 https 协议,运行项目
sx:快速强大易于使用的现代化网络扫描器
m0_59598029的博客
08-02 1144
运行速度比Nmap要快30倍;ARP扫描:支持扫描本地网络以检测活动设备;ICMP扫描:使用高级ICMP扫描技术来检测活动主机和防火墙规则;TCP SYN扫描:传统半开放扫描以查找开放TCP端口;TCP FIN/NULL/XMAS扫描:扫描某些防火墙绕过技术;自定义TCP扫描:发送任意形式数据包,并获得回复数据包中设置的所有TCP标志的结果;UDP扫描:扫描UDP端口并获取全部ICMP响应,以检测开放端口和防火墙规则;
uniapp使用md5加密 js使用md5加密
加班可以,无偿加班不行
03-29 7064
uniapp使用md5加密 项目中使用md5加密 md5加密的使用方法
基于Windows系统下的入侵排查
qq_53058639的博客
03-26 1143
Windows入侵排查Web入侵:网页挂马、主页篡改、Webshell系统入侵:病毒木马、勒索软件、远控后门网络攻击:DDOS攻击、DNS劫持、ARP欺骗针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Windows服务器入侵排查的思路。事件定性系统主机排查显示关于计算机及其操作系统的详细配置信息,包括操作系统配置、安全信息、产品 ID 和硬件属性,如 RAM、磁盘空间和网卡。进程排查1、登录后,发现CPU100%
Windows系统入侵排查
2201_75854013的博客
07-03 1603
文章摘要:本文详细介绍了Windows系统入侵排查的方法,重点包括:1.用户排查(常规用户和隐藏的影子用户检测);2.端口进程检查(通过netstat和tasklist命令);3.启动项分析(注册表、任务管理器等途径);4.任务计划审查(使用at和schtasks命令);5.服务自启动检查。文章还推荐了D盾、360等安全工具的使用,并强调系统日志分析的重要性。这些排查手段能有效发现黑客入侵痕迹,如后门程序、恶意连接等,帮助用户及时清除安全隐患。(149字)
Linux 系统入侵排查指南
最新发布
logic1001的博客
09-24 817
系统入侵排查是指在怀疑或确认计算机系统遭受未经授权的访问或攻击后,采取一系列有组织的技术手段和流程,来确认入侵事实、评估影响范围、定位漏洞原因、清除后遗症并恢复系统正常运行的过程。其核心目标是 “
Vite开启https — 离线和在线生成签名证书
Liuer_Qin的博客
02-15 4716
Vite开启https
uniapp中使用js-md5库进行字符串MD5加密
qq_45915072的博客
05-19 4212
MD5是一种用于加密或摘要数据的算法,它可以将任意长度的数据转换成一个128位(16字节)的哈希值。,以确保接收方收到的文件与发送方发送的文件内容一致。时,为了保护用户的隐私和安全,通常会。使用MD5或其他哈希算法来对密码。用于文件传输过程中数据完整性校验。
vite中配置 https 安全超文本网络协议
weixin_43993776的博客
10-18 3266
https 的配置是相对安全的,但是需要购买证书,它是 SSL/TLS + HTTP 的安全超文本网络协议此版本配置的是在 vite 开发服务器上临时配置的 https 协议, 生产环境需要购买证书, 在nginx 中配置。
uniapp使用md5加密
逆水行舟 不进则退
06-18 3900
uniapp开发手机端登录页密码使用md5加密
此网站无法提供安全连接的解决方法
Karka_的博客
03-03 1万+
谷歌提示此网站无法提供安全连接是怎么回事?相信很多使用谷歌浏览器的用户都遇到过,浏览网站弹出“您与此网站之间建立的连接不安全,请勿在网站上输入任何敏感信息(例如密码或信用卡信息),因为攻击者可能会盗取这些信息”的提示,遇到这种情况其实是可以解决的,下面我们就来看看。1、我们有时打开Chrome 浏览器浏览一些网站时,会弹出“网站连接不安全”的显示。!2、这是浏览器对HTTP网站的警告提示,表示这个网站使用了HTTP协议传输数据,提醒用户谨慎访问此网站。!3、影响这样的情况还有:SSL证书过期。
Vite开启https
czw15913934496的博客
12-26 2091
(1)新建文件夹来存放证书(这步可不做,但是生成的证书会在c盘中)(2)设置Chocolatey安装位置。(1)打开PowerShell。(3)安装Chocolatey。4、Vite配置https证书。1、安装Chocolatey。3、生成https证书。(2)执行命令生成证书。2、安装mkcert。
微信小程序 MD5 方法js
woshihaiyong168的博客
01-12 1万+
生成的文件可以放在  utils文件中哦!!! /* * A JavaScript implementation of the RSA Data Security, Inc. MD5 Message * Digest Algorithm, as defined in RFC 1321. * Version 1.1 Copyright (C) Pau
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 4674
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
此站点的连接不安全,使用不受支持的协议。ERR_SSL_VERSION_OR_CIPHER_MISMATCH(不支持的协议 客户端和服务器不支持常用的 SSL 协议版本或密码套件。)
热门推荐
ZL_1618的博客
04-05 3万+
之前自己的电脑未更新系统或者浏览器的时候使用的是IE浏览器,更新后变成了Microsoft Edge浏览器。导致之前很多访问的地址无法法访问了如图所示报错。
Tomcat一些漏洞的汇总
m0_48108919的博客
03-28 2万+
前言:Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用 服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP 程序的首选。 一、Tomcat 任意文件写入(CVE-2017-12615) 1.漏洞介绍 1.1影响范围: Apache Tomcat 7.0.0 - 7.0.81 1.2漏洞原因: Tomcat配置文件/conf/web.xml 配置了可写(readonly=false),导致可以使用PUT方法上传任意文件,攻击者将精心构造的
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值