恶意专题
警告,恶意域名疯狂外联,原因竟然是……
前言 在某个风和日丽的下午,突然收到客户那边运维发过来的消息说我司的DTA设备在疯狂告警,说存在恶意域名外联,我急忙背上小背包前往客户现场,经过与客户协同排查,最终确定该事件为一起挖矿病毒引起的恶意域名外联事件。(因客户信息保密且为了保证文章逻辑完整性,部分截图为后期追加图) 事件分析 一看域名地址donate.v2.xmrig.com
面向黑灰产治理的恶意短信变体字还原第6名方案
前段时间组织同学们参加了面向黑灰产治理的恶意短信变体字还原比赛,获得了第6名。方案如下: 赛题链接:面向黑灰产治理的恶意短信变体字还原 竞赛 - DataFountain 赛题任务描述:本任务类似于机器翻译,需要针对恶意短信中的变体字进行还原。恶意垃圾短信为了跳过安全检测会将字符变成变体的字符,需要采用深度学习建模的方法将测试集中新出现的短信变体字还原为正常信息文本,即不含有变体字、干扰字符
PyPI恶意存储库fshec2攻击分析
0x00 事件背景 PyPI(Python Package Index)是Python官方的包索引和分发平台。它是一个公共的、全球性的存储库,用于存储、发布和安装Python包和模块。 PyPI允许开发者将他们编写的Python代码打包为可重用的模块或库,并将其发布到PyPI上供其他开发者使用。开发者可以通过使用pip工具(Python的包管理工具)从PyPI上安装所需的模块或库。PyPI提供
如果有黑客想恶意攻击系统,调用某个修改接口时,传入某个id,如果该id在数据表中不存在,是应该返回处理成功给前端,还是应该返回类似“该id不存在”的报错提示
在设计系统接口时,如何处理不存在的ID的情况是一个重要的考虑因素,因为这涉及到接口的安全性、用户体验和错误处理策略。以下是一些指导原则: 1. **安全性**: - 通常,返回一个通用的错误消息而不是特定的错误细节可以防止攻击者获取系统内部信息。如果返回“该ID不存在”的错误,攻击者可能会利用这一点来探测系统的数据结构。 2. **用户体验**: - 对于前端用户来说,了解操作失败
恶意流量监测开源系统:Maltrail
20210309 - 0. 引言 一般来说,通过IDS来监测一些攻击流量,或者说恶意流量也是可以的;但是现在看到的这个开源软件[1]是专门利用IOC来识别恶意流量;具体细节我没有深入去研究,例如流量捕获部分到底是什么引擎来启动的。 1. 系统简介 在其Github主页上的介绍来看,该系统的定位是恶意流量监测系统,而其实现的方法就是利用一些开源的情报,来作为IOC,同时自己部署流量探针来实现
Windows 10+防止系统时间被恶意篡改!
Windwos 禁止时间修改方式 注意: 更改后如果想更改时间,需要进入BIOS设置进行调整。 更改后如果以后想解除这个限制,需重复下述步骤,把你的系统用户名添加进去即可。 按WIN+R, 运行输入gpedit.msc,点击确认,进入组策略设置。 进入组策略设置后,依次找到:计算机配置→windows设置→安全设置→本地策略→用户权利分配。 找到"更改系统时间",双击打开它的属性
云服务器CPU和内存直接被zzh恶意挖矿程序打满,如何解决?
回顾 最近在服务器上面部署网站,刚开始使用还是没问题的,当时一段时间之后发现CPU和内存总是被打满,本地没有跑大的应用,主要有mysql、nginx、redis,一度还以为是nginx 的问题,但是后来排除了。之后使用htop发现有一个zzh的进程一直在占用,并且占用五个核心,将之kill掉之后CPU占用率立马就下来了,但是过段时间之后这个就又会上去… kill进程之后CPU占用率下降到正
【杂记-webshell恶意脚本木马】
一、webshell概述及分类 概述 webshell,通常作为web应用管理工具,运维人员可以通过 webshell (服务器管理工具)针对 web 服务器进行日常的运维管理以及系统上线更新等,攻击者也可以通过 webshell (后门程序)来管理 web 应用服务器,攻击者使用webshell作为恶意脚本木马,可通过服务器开放的端口获取服务器的某些权限。 分类 1、大马:体积大、功能齐全、能
一个携带恶意ELF的样本分析
1.样本的主要行为 样本启动后会向系统目录下面释放一个被加密的ELF文件,母包会联网下载广告图片,推送弹框广告;SK文件检测模拟器和虚拟机环境,干扰沙箱检测apk文件;释放的ELF文件会获取系统权限,破坏卸载其他root工具的正常使用,导致恶意的ELF文件无法被删除;ELF文件同时会从远端获取指令,静默下载安装其他其他恶意子包,且安装的系统目录下面导致无法卸载;恶意子包进一步获取从远端获取指
如何解包 Python 恶意可执行文件
使用 Python 编写的程序通常以源码的形式发布,也可以将所有依赖都打包到一个可执行文件中。那么如何解包 Python 恶意可执行文件呢? 打包 打包与加壳不同,打包 Python 程序的目的是创建一个可以在操作系统上独立运行的可执行文件。使用例如 PyInstaller 这类打包工具时,会执行以下操作: 将所有.py 源文件编译为 python 字节码文件(.pyc文件) 整合所
服务器被黑?快速检测和识别系统中的恶意进程
在管理和维护服务器时,检测和识别系统中的恶意进程是非常重要的。本文将详细介绍几种常用方法和工具,帮助您有效地检测和处理恶意进程,确保系统的安全性。 方法一:使用系统监控工具 1.1. 使用 ps 命令 ps 命令可以列出系统中所有正在运行的进程。使用以下命令查看特定用户或特定进程的详细信息: ps -ef | grep [进程ID或关键词] 例如: ps -ef | grep p
社交媒体分析-恶意内容自动检测相关论文
2010 Robertson, Michael, Yin Pan, and Bo Yuan. "A social approach to security: Using social networks to help detect malicious web content." 2010 IEEE International Conference on Intelligent Systems a
防止用户恶意刷新过滤器
防止用户恶意刷新过滤器 2012-08-15 0 个评论 收藏 我要投稿 为了防止用户对网站页面刷新过于频繁,需要对这种恶意操作进行判断并且屏蔽.虽然公司要有这样的一个功能,但是我觉得太没有必要了.只要你服务器够好,你何必需要这样的功能呢?下面是全部代码(仅供大家参考,我觉得实际意义不是很大): import java.io.IOE
【Linux之Shell脚本实战】实现屏蔽恶意IP地址的shell脚本
【Linux之Shell脚本实战】实现屏蔽恶意IP地址的shell脚本 一、本次实践要求二、Shell脚本介绍2.1 shell脚本简介2.2 shell脚本编写原则 三、本次实践介绍3.1 本地环境规划3.2 检查本地系统3.3 检查系统内核版本 四、配置脚本注释模板4.1 编辑 .vimrc 文件4.2 检查模板生效情况 五、编写脚本5.1 日志文件说明5.2 编写shell脚本
如何避免企业内部的恶意操作或操作疏忽带来的安全威胁
来自企业内部的安全威胁 Clearswift一则新的报告指出,在数据安全上,58%的威胁来自于企业内部(如现有员工、离职员工、合作伙伴等)其中部分源于意外的行为操作,部分则是源于恶意。 无论是意外还是恶意,网络安全问题给企业带来的损失都是巨大的。一个内部人员的蓄意攻击可能会令企业损失412000美元,算下来一年的损失将近1500万美元。对于一些大型企业来说,这样的损失甚至超过10亿。 无论是处
新加坡SEO服务器应对网站被恶意篡改的方法
随着互联网的普及和发展,新加坡SEO服务器在网站运营和推广中发挥着关键作用。然而,网站安全问题时常受到关注,恶意篡改是其中之一。本文将探讨新加坡SEO服务器如何应对网站被恶意篡改的情况,介绍几种应对策略和防护措施,以保障网站的安全和稳定。 1. 定期备份数据: 面对网站被恶意篡改的风险,定期备份数据是最基本的应对措施之一。新加坡SEO服务器应建立定期自动备份机制,确保网站数据的及时
nginx封禁恶意IP
网络攻击时有发生 TCP洪水攻击、注入攻击、DOS等比较难防的有DDOS等 为了数据安全,防止对手爬虫恶意爬取,封禁IP 一般封禁ip linux server层面封IP:iptablesnginx层面封IP,方式多种(但req还是会打进来,让nginx返回403) nginx作为网关,可以有效的封禁IP单独网站屏蔽IP的方法,把include xxx; 放到对应的server{}语句块所有
访问公共盘时提示:你不能访问此共享文件夹,因为你组织的安全策略阻止未经身份验证的来宾访问。这些策略可帮助保护你的电脑免受网络上不安全设备或恶意设备的威胁。
原因:未启动启用策略:不安全的来宾登录 办法: 1,Windows+R键,打开运行,输入gpedit.msc,打开本地组策略编辑器;2,计算机配置>管理模板>网络>Lanman 工作站>启用不安全的来宾登录>已启用>确定
如何在Linux下大量屏蔽恶意IP地址(ipset)
转自:http://www.kuqin.com/shuoit/20150225/344886.html 很多情况下,你可能需要在Linux下屏蔽IP地址。比如,作为一个终端用户,你可能想要免受间谍软件或者IP追踪的困扰。或者当你在运行P2P软 件时。你可能想要过滤反P2P活动的网络链接。如果你是一名系统管理员,你可能想要禁止垃圾IP地址访问你们的公司邮件服务器。或者你因一些原因想要禁止 某些
基于深度学习检测恶意流量识别框架(80+特征/99%识别率)
基于深度学习检测恶意流量识别框架 目录 基于深度学习检测恶意流量识别框架简要示例a.检测攻击类别b.模型训练结果输出参数c.前端检测页面d.前端训练界面e.前端审计界面(后续更新了)f.前端自学习界面(自学习模式转换)f1.自学习模式 核心代码示例a.代码结构b.数据预处理c.抓包模块d.数据库操作e.全局变量实现 简要 内容说明使用语言Python训练数据2800w支持
6781病毒恶意推广网址导航 大量用户被感染
8月26日,江民科技反病毒中心接到大量用户上报同一可疑文件,经分析该文件为“起始页木马”变种病毒。病毒作者通过在网上大肆传播该病毒,达到推广6781网址导航站的目的。 江民反病毒专家介绍,6781病毒的推广方式十分“文明”。病毒运行后,首先查看用户IE浏览器的默认主页,如果发现默认主页并非网址导航网站,病毒则自动退出,不做任何动作。而一旦病毒发现该默认首页为病毒内置的24种网址导航站中的任一
如何避免被恶意攻击的IP地址
随着互联网的普及和发展,网络安全问题日益受到关注,恶意攻击成为网络安全的一大威胁。而IP地址作为网络通信的基础,常常成为恶意攻击的目标之一。本文将探讨如何避免被恶意攻击的IP地址,提高网络安全水平。 1. 定期更新安全补丁 网络安全漏洞是恶意攻击的主要入侵途径之一。为了防止被利用安全漏洞进行攻击,应定期更新操作系统、应用程序和网络设备的安全补丁,及时修补潜在的漏洞。同时,监控和关注安全厂商的漏
如何防止黑客恶意的刷端口
我们可以在把这个端口作为Redis的一个key,(Redis是kv结构的,v具有类型结构)我们可以约定1秒钟超过多少次就算攻击(比如1秒钟十次),当一秒钟刷新超过十次我们就认为是在刷新我们的接口,这个时候我们可以对key进行一个设置,可以给当前的一个端口设置一个当前的时间戳(时间戳为1秒钟)假如说:我们设置的不是1秒钟是10次吗,要是他这个key一秒钟访问累加超过10次就确认是恶意刷端口,当这
恶意游戏并非传说:它们甚至在 Steam 上也存在
三月份,玩家们在在线平台上遇到了热门游戏的假克隆。在受害者中,有一位用户购买了一款假冒游戏《最后纪元》(Last Epoch),但玩了几个小时后却出现了 "蓝屏死机"。 在联系了技术支持后,Steam 将钱退还给了玩家,而这家发布热门游戏虚假页面的公司也被封杀。 🎮 如何识别假冒游戏 Positive Technologies(PT 专家安全中心)的专家 Ksenia Naumov
大四女生当上副总裁---恶意无耻的炒作
这条新闻已经在网上流行好些天了,让人不禁要探个虚实,这样一来,我的好奇心成就了炒作者的初衷,想必也是大部分中国网友受骗的经过。 我说“受骗”,大概不会有太多人来反对。最近网上时常冒出些明星性丑闻,这就是我们所谓的精英文化给大众带来的伟大遗产,网络世界可以不负责任的发表声明,就像讲述一个个天方夜谭,信与不信,总之传播开来就是造事者的目的,然而现实毕竟不是故事,故事只是给人带来启发或闲聊的材料