LiuGuobin's blog
08
19
Linux进程简述 Linux进程简述
父进程自已创建一个或者多个进程 子进程fork创建的。这个函数被调用一次但是返回两次,子进程返回0,父进程返回子进程id。 fork之后,操作系统会赋值一个与父进程完全相同的子进程,虽然是父子关系,但是更像是兄弟关系。这两个进程共享代码,但
2023-08-19
18
善后处理 善后处理
杀死进程top d1 //运行top命令后,键入大写字母P按cpu排序 ps aux | sort -k4nr //运行top命令后,键入大写字母M按内存排序 ls -la /proc/$pid/exe   //查找进程文件
2023-08-18
17
常见问题处置方案 常见问题处置方案
文件无法删除被进程占用: lsof xxxx.xx 文件存在隐藏属性: sattr xxxx.xx chattr -a xxxx.xx chattr -i xxxx.xx 上层文件存在SBIT权限:这种情况只存在于非 root 权限去删
2023-08-17
16
暴力破解排查 暴力破解排查
介绍暴力破解一般针对ssh、mysql、ftp、redis、mongodb、smtp SSH暴力破解 使用netstat -pantu查看网络状态,重点是PID(当被破解时会有大量的ESTABLISHED) 使用awk -F: '
2023-08-16
15
勒索病毒排查 勒索病毒排查
概述正常情况下遇到勒索病毒就两种方法,要么找办法解开要么给钱。 处置方法 查找勒索病毒特征,收集相关信息 深信服千里目实验室公众号直接回复病毒关键字 安全响应及EDR知识赋能平台 Freebuf 淘宝、闲鱼 解决方法有解密工具就用解密工具
2023-08-15
14
远控后门排查 远控后门排查
获取事件告警信息监控EDR、态势感知、防火墙等平台查看威胁告警以及日志。 定位后门文件根据告警信息定位后门文件位置,查找进程pid lsof | grep xxxx.xx lsof /root/xxxx.xx fuser /root/xxx
2023-08-14
13
挖矿事件排查 挖矿事件排查
第一步:获取信息 下线服务器之后从DNS服务器、防火墙、态势感知平台等地方获取到攻击事件详细信息 根据上传来源的IP/域名,在威胁情报平台查询确定木马类型 获取异常进程的pid CPU占用: top -c -o %CPU ps -eo p
2023-08-13
12
安全工具 安全工具
Nmap常用命令nmap hostname/ip或者多个ip或者子网192.168.123.* -iL ip.txt 扫描ip.txt的所有ip -A 包含了-sV,-O,探测操作系统信息和路由跟踪(激烈扫描,一般不用) -O 探测操作系统
2023-08-12
06
内网渗透 内网渗透
内网渗透的流程 从外网拿下一个主机当做跳板 用net user /domian命令查看跳板机是否在域内,探测存活主机 提权、提取hash 进行横向移动,定位dc位置 查看是否有能直接提权域管的漏洞,拿到dc控制权后进行提权 最后制作黄金票据
2023-08-06
01
阅经题总结 阅经题总结
拿到目标站以后的渗透思路?渗透测试流程: 项目前期准备工作 信息收集:whois、网站源IP、开放端口、旁站、C段网站、服务器系统版本、容器版本、程序版本、数据库类型、二级域名、防火墙WAF 自动化漏洞扫描:Nessus, AWVS,XR
2023-08-01