windows应急响应分析，linux中勒索病毒表现

本内容由系统网小编为大家分享，Windows系统安装教程、办公系统、软件怎么使用、软件使用教程、办公软件攻略等信息。

案例1:侵略反应 - 暴力破裂(RDP,SSH) - Windows, Linux

日志是第三方的效用,可用于检查Windows上的日志。Windows 服务器的 RDP 远程桌面

查看目前的日志记录显示,有一个用户正在疯狂地试图连接本地的 RPD 。当Linux攻击者炸掉沙港时

可以通过命令grep -o "Failed password" /var/log/secure|uniq -c 使用关键字对日志进行统计分析,以确认服务器被撞击的爆炸次数

通过命令grep "Failed password" /var/log/secure|head -1 检查日志中的第一个密钥 。Failed password确认攻击者最初爆炸的时间

通过命令grep "Failed password" /var/log/secure|tail -1 检查日志中的第一个密钥 。Failed password确认最后一次爆炸的时机

检查哪些IP试图爆炸。 grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0- 4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0- 9]?)"|uniq -c | sort -nr 检查攻击者试图引爆的字典。 grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1n";}'|uniq -c|sort - nr 使用日志文件关键字Accepted检查以确定攻击者何时成功着陆 。

控制反应 - 后门马(Webshell,PC) - Windows, Linux

Windows

以 cs 开始。 连接后, 配置一个监听设备 。生成后门将后门连接到以前安装的监听设备上。Cs在引入目标窗口后开始运行。见PCHUNTER64筛选分析工具的现行程序。linux

下载 cs Linux 插件将插件放入 cs 服务器目录并提供执行权限 。服务端启动cs本地连接 cs 和 https 听众创建

访问 cs 目录,重新打开 cs 服务器终端窗口 。上传 genCrossC2. Linux 插件生成称为 C2 的 linux 后门生成 linux 。此 IP 地址和端口必须匹配本地 cs 听众的参数 。上传 cs 生成的后门 C2 到对面的 Linux, 给予执行力和执行力 。本地 cs 备份可用, 彼此的 Linux 主机也可用 。

判例3 - Gscan多功能脚本测试-Linux-自动反应检测

首先通过yum -y install git安装git

Gsmay 可以从 Git 下载 。下载后, 浏览到 Gscan 目录, 使用 python3.py 文件启动 GScan 。

一旦发射, Gscan 将自动测试目前的 PC 。

判例4 - 恶意感染(勒索)

https://lesuobingdu.360.cn/https://www.nomoreransom.org/zh/index.html360个在线网站可以识别和修理已更改的视频文件。

XTw.com.Cn系统网专业应用软件下载教程，免费windows10系统,win11,办公软件,OA办公系统,OA软件,办公自动化软件,开源系统,移动办公软件等信息，解决一体化的办公方案。