应急响应-web

应急响应的流程分为6个阶段

PDCERF

准备 ,检测,抑制,根除,恢复,总结

准备:

准备阶段就是以预防为主,准备一些应急响应的预案,对应急响应的分工操作制定一些计划,进行应急响应的演练

检测:

这个阶段是在安全事件发生后的,主要是对安全事件进行定性。确定安全事件是否真实,确定事件的影响,确定对业务的危害。

常见的安全事件有:

web层面:网页挂马,js暗链,主页篡改,websehll后门

系统层面:病毒木马,勒索软件,远控后门

网络层面:cc攻击,ddos攻击,dns劫持,ARP欺骗

dos攻击,是拒绝服务攻击,就是攻击者发送一些合法但无法拒绝的请求给目标,造成目标的一些业务无法正常运转。

ddos攻击,分布式拒绝服务攻击,攻击者通过技术控制多台肉鸡,对目标发起dos攻击。

DDOS攻击现象

1.被攻击机上有大量等待的TCP连接。

2.网络中充斥着大量无用数据包

3.源地址为假,制造高流量无用数据,造成网络拥塞,使受害主机无法和外界通信

4.cup和内存占满。

cc攻击,cc攻击可以算是ddos的延申。原理就是攻击者控制一些主机对服务器发送大量的合法无法拒绝的数据包,用很多台被控主机来不停的访问对方网页的一个页面。使目标服务器资源耗尽,甚至宕机。

cc攻击现象:

1.网站打不开

2.查看日志,不同的ip都在访问一个文件

两者的区别就:

ddos针对的使ip,cc针对的使网页

ddos比cc更难防御。

抑制:

主要就是降低安全事件造成的影响,限制安全事件发生的范围和时长,并且根据应急响应预案做出操作。

手段有:

断开网络

关闭受影响的系统

关闭未受到影响的其他业务

蜜罐

根除:

找出安全事件的根源,清除隐患,避免安全事件二次发生。

恢复:

让系统恢复到和以前正常运行转台。

总结:

对应急响应预案进行复盘,总结经验,吸取教训。提出整改建议。攥写应急响应报告

web层面的应急响应实战

假设web被写入了后门

我都流程是先上软件,然后配合人工检查。软件查找后人工去确认,然后查看攻击的ip,然后ban

河马,把整个源码文件拖进去扫一扫。

我们用D盾或者河马确定了该文件可能被写入后门,就需要去确认后门的位置,这时候可以用一些软件加上我们手动的去查找到后门代码。

BeyondCompare

对比一下。

可以确定攻击的手段。

就是写了一个php后门

然后去查日志

查日志,每个中间件位置都是不一样的,大概都是一些

log conf config 

查日志,不是之直接对着日志翻。而是根据你的网页被修改的位置。找到被修改的文件,确定文件被修改的事件。再然后,根据这个修改事件去在日志里查找。

比如说 

这个文件被修改留了后门。

日志翻一翻,

有东西了,可以看到对方的ip。直接ban了。

日志审查工具也有一些,比如说360星图

然后确定了攻击者。

可以把攻击者的ip放百度上查一查,溯源一下

接下来就是攻击的过程进行还原。

 

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/23749.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

设计事务所项目管理指南

在数字化的浪潮下,各行各业都面临着升级转型的问题。对设计团队而言,传统的管理方式已经无法满足日益前进的团队需求。 设计事务所可能存在的管理问题: 1,项目过程中信息流通慢,成员工作进度无法及时同步; …

Dubbo源码篇08---依赖注入和AOP在Dubbo中的实现

Dubbo源码篇08---依赖注入和AOP在Dubbo中的实现 引言依赖注入使用实践 Wrapper机制使用实践注意 引言 前面三篇文章,我们从使用到原理,详细分析了一遍Dubbo SPI机制的实现原理: Dubbo源码篇05—SPI神秘的面纱—使用篇Dubbo源码篇06—SPI神秘的面纱—原…

【JavaSE】Java基础语法(十九):接口新特性

文章目录 1. 接口组成更新概述2. 接口中默认方法3. 接口中静态方法4. 接口中私有方法 1. 接口组成更新概述 常量:接口可以定义全局常量,使用关键字public static final修饰。 抽象方法:接口中可以定义抽象方法,使用关键字public…

首发Yolov8优化:Adam该换了!斯坦福最新Sophia优化器,比Adam快2倍 | 2023.5月斯坦福最新成果

1.Sophia优化器介绍 斯坦福2023.5月发表的最新研究成果,他们提出了「一种叫Sophia的优化器,相比Adam,它在LLM上能够快2倍,可以大幅降低训练成本」。 论文:https://arxiv.org/pdf/2305.14342.pdf 本文介绍了一种新的模型预训练优化器:Sophia(Second-order Clippe…

<Linux开发>驱动开发 -之-基于pinctrl/gpio子系统的beep驱动

<Linux开发>驱动开发 -之-基于pinctrl/gpio子系统的beep驱动 交叉编译环境搭建: <Linux开发> linux开发工具-之-交叉编译环境搭建 uboot移植可参考以下: <Linux开发> -之-系统移植…

完整卸载office以及重装office 2021

完整卸载office以及重装 一.背景 之前很早安装的word最近发现打开,编辑等操作都很卡,而且占用的CPU很多,20%左右,而在网上搜索了一些结果无法解决问题后,决定卸载重装 二. 卸载的建议方法 直接参考官方链接从PC卸载…

Pytest自动化测试框架之Allure报告

简介 Allure Framework是一种灵活的、轻量级、多语言测试报告工具。 不仅可以以简洁的网络报告形式非常简洁地显示已测试的内容, 而且还允许参与开发过程的每个人从日常执行中提取最大程度的有用信息和测试。 从开发/测试的角度来看: Allure报告可以…

弘基笔记本电脑怎么使用U盘重装系统?

弘基笔记本电脑怎么使用U盘重装系统?有的用户的弘基笔记本电脑使用过程中出现了蓝屏的情况,系统频繁的出现蓝屏问题导致自己的使用受到了影响,那么这个情况怎么去进行问题的解决呢?一起来看看以下的解决方法吧。 准备工作&#xf…

直接缓存访问DCA

直接缓存访问DCA:网卡原本DMA写是将接收到的数据帧写入系统内存,DCA机制是网卡DMA写输入的数据能直接发送到属于CPU内部的L2高速缓存中,从而提高网络IO的性能。 设备驱动程序要初始化网卡的DCA功能,将CPU ID号(通过获取…

Unity-vr用眼睛注视选择物体

Unity-vr用眼睛注视选择物体 文章目录 Unity-vr用眼睛注视选择物体工程版本用法说明脚本说明WatchController - 注视主控制器WatchEvent - 注视事件WatchGameobject - 被注视物体TimerTool - 计时器工具 总结 工程版本 unity2019.4.9f1 vs2019 项目工程源代码下载 用法说明 …

技术大佬们都是怎么学习的?

目录 问题 熟悉更多业务 熟悉端到端 自学 Do exercise Learning trying Teaching 问题 今天逛帖子的时候,看到这么个问题: 这个问题我曾经也很好奇过,那些成为技术大佬的人当初是怎么学习,以及怎么成长过来的&#xff0…

私有GitLab仓库 - 本地搭建GitLab私有代码仓库并随时远程访问「内网穿透」

文章目录 前言1. 下载Gitlab2. 安装Gitlab3. 启动Gitlab4. 安装cpolar内网穿透5. 创建隧道配置访问地址6. 固定GitLab访问地址6.1 保留二级子域名6.2 配置二级子域名 7. 测试访问二级子域名 转载自远控源码文章:Linux搭建GitLab私有仓库,并内网穿透实现公…

Makefile

Makefile 1.举一个Makefile的例子2.使用变量3.更省事的方式,让Make 自动推导.PHONY:clean是什么意思?! 4.cmake与Makefile的联系在 linux 平台下使用 CMake 生成 Makefile 并编译的流程如下: 1.举一个Makefile的例子 hello_demo : hellospea…

回收站中怎么找回误删除的文件?这几种方法很实用

当我们在电脑上操作文件的时候,难免会有不小心删除文件的情况发生。这个时候,我们可以打开回收站来找回误删除的文件。但是,有时候我们也会误将回收站清空。那么,该怎样才能找回已经误删除的文件呢?在这里提供了回收站…

chatgpt赋能python:用Python下载MP3的方法

用Python下载MP3的方法 如果你想从互联网上下载MP3,那么你可以使用Python来实现这个任务。在本文中,我们将介绍如何用Python编写程序来下载MP3,同时还将分享一些有用的工具和资源。 Python中使用的库 要下载MP3,你需要使用Pyth…

一篇文章搞定《Android事件分发》

一篇文章搞定《Android事件分发》 什么是事件分发MotionEvent事件事件如何从屏幕到APPInputManagerServiceWindowManagerServiceWindow小结 事件如何从APP到达对应页面第一步:分类第二步:送去Activity后续的传递小结: 页面的事件分发整个流程…

移动云COCA架构,重新定义下一代云

当前,算力已经成为 全球科技竞争的焦点 为此,移动云重磅发布 「移动云COCA(Compute on chip Architecture)软硬一体片上计算架构」 以下简称移动云COCA架构 以此打造国家级自主可控的 高性能算力底座 带动国产化智算产业成熟…

【ISO14229_UDS刷写】-5-$38诊断服务RequestFileTransfer理论部分

总目录:(单击下方链接皆可跳转至专栏总目录) 《UDS/OBD诊断需求编辑工具》总目录https://blog.csdn.net/qfmzhu/article/details/123697014 目录 1 $0x38 RequestFileTransfer诊断服务描述 2 0x38服务请求消息 2.1 0x38服务请求消息定义…

写给初学者的YOLO目标检测 概述

文章目录 什么是目标检测What is YOLO?为什么YOLO在目标检测领域如此流行?1. 速度快2. 高检测精度3. 更好的泛化性4. 开源 YOLO架构YOLO目标检测是如何工作的?残差块(Residual blocks)边界框回归(Bounding box regression)交并比…

基于ESP32-CAM 和 OpenCV 设计的手势控制虚拟鼠标

概述 在本文中,我们将使用ESP32-CAM和OpenCV开发手势控制虚拟鼠标。ESP32 Camera Module和Python程序可用于无线控制鼠标跟踪和点击操作。 入门者必须具备 Python、图像处理、嵌入式系统以及物联网的丰富知识。首先,我们将了解如何控制鼠标跟踪和单击,以及运行 python 程序…