分类 电子取证 下的文章

首先通过远程连接到服务器,首先查看下服务器的基本情况查看日志记录但是并没有发现异常情况看了一下端口,发现有很多1433连接(由于cmd程序报错异常,所以使用powershell进行查看)服务器上安装了杀毒软件,看了杀毒软件报毒信息,去报毒所在路径查看,但并未发现存在此文件。后来看了网上其他文章发现在数据库任务计划内查看系统路径发现存在两个后缀名为dvr的可疑文件继续查看系统路径,发现.......

背景某公司线上服务器意外发现一个Apache Shiro反序列化漏洞,可以直接GetShell。出于做安全的谨慎,马上出现场应急,确认漏洞。该漏洞存在在cookie字段中的rememberMe字段中,可以RCE漏洞应急来到现场后,发现已经升级了,漏洞确认修复完成,只能查看以前的攻击痕迹。查看账号情况首先查看账户文件/etc/passwd,修改时间和内容没有什么问题stat /etc/.......