2022年04月06日
本文转载自微信公众号「 Bypass」,作者Bypass。请联系转载本文Bypass公众号。在发现入侵事件时,根据入侵现象进行调查,结合日志进行相关分析,合理猜测未知情况,恢复攻击场景,找到漏洞的根源,这是一项非常重要的任务。01、事件起因入侵检测出现安全预警,发现内网服务器java过程中发现异常执行行为,存在Dnslog探测和Bash反弹。02、事件分析(1)检查异常端口在网络连接中查看端口情况shell反弹到外网ip,入侵迹象明显。(2)检查异常过程查看过程情况,在过程信息中找到反弹shel