一次远程命令执行引发的应急响应 (一次远程命令有哪些)

在发现入侵事件时，基于入侵现象进行排查，结合日志进行关联分析，对未知情况作合理的猜测，还原攻击场景，找到漏洞根源，这是很重要的任务。

01、事件起因

入侵检测出现安全预警，发现内网 服务器 的java进程发现异常执行行为，存在Dnslog探测和Bash反弹的行为。

02、事件分析

(1)排查异常端口

通过查看端口情况，在网络连接中发现shell反弹到外网ip，存在明显的入侵的迹象。

(2)排查异常进程

查看进程情况，在进程信息中找到了反弹shell命令的特征，base64解码后的通讯ip，与上面发现的一致。执行shell反弹的父进程位60753，该进程为java进程。

(3)查询历史命令

在history里发现了异常操作行为，攻击者查看了当前服务器ip，当前用户权限，用户在线情况等操作。

(4)web日志分析

java进程所对应的是web应用程序，基于异常命令执行的时间节点，对相关web日志进行分析，确认入侵时间范围内是否存在可疑的行为。

未发现异常的web访问行为，都只有访问网站首页的记录，那么它到底是如何入侵的呢?

合理的猜测：结合前面发现Java进程执行dnslog探测等行为，猜测可能存在框架组件存在远程命令执行漏洞。

(5)web框架组件

在web框架组件中，发现低版本的shiro组件，存在明显的远程命令执行漏洞。

框架/组件	版本
4.3.5 RELEASE
1.4.0-RC2

(6)漏洞复现

通过Shiro远程命令执行漏洞成功获取到了服务器权限，存在dnslog探测和命令执行情况，与发现入侵时的迹象一致。

03、事件总结

通过以上的分析，可以判断出攻击者通过shiro 远程命令执行漏洞入侵，并在反弹shell执行了一些操作，需要升级shiro至最新版本并生成新的密钥替换。

---

ALT="一次远程命令执行引发的应急响应" src="https://www.kuidc.com/zdmsl_image/article/20250721073809_69855.jpg" loading="lazy">

本地连接怎么连接上了呢?

造成“本地连接”丢失故障的因素有多种，例如网卡没有安装成功，与“本地连接”相关的系统服务被不小心停止了，网络参数没有设置正确，或者对系统进行了不恰当的设置,由其是BIOS的设置等等。 不同的因素引发的“本地连接”丢失故障，需要使用不同的方法来应对：首先，检查一下BIOS的高级芯片里的设置是否正确,然后,打开系统的设备管理器界面，检查一下是否存在网卡设备，如果找不到的话，那就证明网卡还没有安装好，那必须重新正确安装好网卡设备;如果网卡能够显示在设备管理器中的话，那可以用鼠标右键单击网卡设备，并从其后出现的右键菜单中执行“属性”命令，在随后出现的窗口中，我们就能查看到网卡设备的当前工作状态了。 如果发现该设备处于不可用状态，不妨更换一下网卡的安装位置，然后再重新安装一次网卡的驱动程序，看看能不能将故障现象消除掉;要是重装网卡还无法让网卡工作状态恢复正常的话，那十有八九是网卡自身已经损坏，此时必须重新更换新的网卡设备。 其次，进入到系统的服务列表界面，检查一下与“本地连接”有关的系统服务启动状态，例如看看“Network Connections”服务是否已经处于启用状态，如果发现该服务被停用的话，再检查一下与“Network Connections”服务有关的远程过程调用服务“Remote Procedure Call”是否工作正常，因为一旦将该服务不小心禁用的话，“Network Connections”服务也有可能会随之停用。 当然，要是“Plug and Play”服务工作不正常的话，也能影响到“本地连接”图标的正常显示，因此我们也必须保证该服务能运行正常。 接着,我们可以打开系统的运行对话框，在其中执行“”字符串命令，进入系统的分布式COM配置界面，单击其中的“默认属性”标签，查看对应标签页面中的“在这台计算机上启用分布式COM”是否处于选中状态，如果该项目此时并没有处于选中状态的话，那“本地连接”丢失故障多半是由该因素引起的，此时我们只有重新将“在这台计算机上启用分布式COM”选中，同时将模拟级别权限调整为“标识”，最后单击一下“确定”，这样的话“本地连接”图标在系统重新启动之后说不定就可以出现了。 如果上面的几个步骤还不能让“本地连接”图标重见天日的话，那我们有必要检查一下是否人为将“网上邻居”功能隐藏起来了，如果是这样的话我们必须打开系统运行框，在其中执行“poledit”字符串命令，打开系统策略编辑器界面;依次单击该界面菜单栏中的“文件”/“打开注册表”项目，然后双击其后界面中的“本地用户”图标，再逐一单击“外壳界面”/“限制”项目，并将“限制”项目下的“隐藏网上邻居”取消选中，最后保存好上面的设置操作，并重新启动一下计算机系统，就能恢复网上邻居的显示功能，这样多半也能解决“本地连接”丢失故障。

什么是系统安全模式

开机后按住F8 会出现一个启动选择菜单:1.安全模式只使用基本文件和驱动程序。 如鼠标(USB串行鼠标除外)、监视器、键盘、硬盘、基本视频、默认系统服务等，但无网络连接。 如果采用安全模式也不能成功启动计算机，则可能需要使用恢复控制台功能来修复系统。 2.带网络连接的安全模式在普通安全模式的基础上增加了网络连接。 但有些网络程序可能无法正常运行，如MSN等，还有很多自启动的应用程序不会自动加载，如防火墙、杀毒软件等。 所以在这种模式下一定不要忘记手动加载，否则恶意程序等可能会入侵在你修复电脑的过程中。 3.带命令行提示符的安全模式只使用基本的文件和驱动程序来启动，在登录之后，屏幕上显示命令提示符，而非Windows图形界面。 说明：在这种模式下，如果你不小心关闭了命令提示符窗口，屏幕会全黑。 可按下组合键Ctrl+Alt+Del，调出“任务管理器”，单击“新任务”，再在弹出对话框的“运行”后输入“”，可马上启动Windows的图形界面，与上述三种安全模式下的界面完全相同。 如果输入“c:windowssystem32cmd”也能再次打开命令提示符窗口。 事实上，在其它的安全模式甚至正常启动时也可通过这种方法来启动命令提示符窗口。 4.启用启动日志以普通的安全模式启动，同时将由系统加载(或没有加载)的所有驱动程序和服务记录到一个文本文件中。 该文件称为 ，它位于 %windir% (默认为c:windows)目录中。 启动日志对于确定系统启动问题的准确原因很有用。 5.启用VGA模式利用基本VGA驱动程序启动。 当安装了使Windows不能正常启动的新视频卡驱动程序时，这种模式十分有用。 事实上，不管以哪种形式的安全模式启动，它总是使用基本的视频驱动程序。 因此，在这些模式下，屏幕的分辨率为640×480且不能改动。 但可重新安装驱动程序。 6.最后一次正确的配置使用Windows上一次关闭时所保存的注册表信息和驱动程序来启动 。 最后一次成功启动以来所作的任何更改将丢失。 因此一般只在配置不对(主要是软件配置)的情况下，才使用最后一次正确的配置。 但是它不能解决由于驱动程序或文件被损坏或丢失所导致的问题。 7.目录服务恢复模式这是针对服务器操作系统的，并只用于恢复域控制器上的SYSVOL目录和Active Directory目录服务。 8.调试模式启动时通过串行电缆将调试信息发送到另一台计算机。 如果正在或已经使用远程安装服务在您的计算机上安装 Windows，则您可以看到与使用远程安装服务还原或恢复系统相关的附加选项。 用上下光标键选择第一种:安全模式后,回车即可!

谁知道ftp怎么用的么

问题1：下面是我在一个地方查抄到的 希望对你能有所帮助FTP（File Transfer Protocol）是文件传输协议的简称。 FTP工作原理拿下传文件为例，当你启动FTP从远程计算机拷贝文件时，你事实上启动了两个程序：一个本地机上的FTP客户程序：它向FTP服务器提出拷贝文件的请求。 另一个是启动在远程计算机的上的FTP服务器程序，它响应你的请求把你指定的文件传送到你的计算机中。 FTP采用“客户机/服务器”方式，用户端要在自己的本地计算机上安装FTP客户程序。 FTP客户程序有字符界面和图形界面两种。 字符界面的FTP的命令复杂、繁多。 图形界面的FTP客户程序，操作上要简洁方便的多。 简单地说，支持FTP协议的服务器就是FTP服务器，下面介绍一下什么是FTP协议（文件传输协议）一般来说，用户联网的首要目的就是实现信息共享，文件传输是信息共享非常重要的一个内容之一。 Internet上早期实现传输文件，并不是一件容易的事，我们知道 Internet是一个非常复杂的计算机环境，有PC，有工作站，有MAC，有大型机，据统计连接在Internet上的计算机已有上千万台，而这些计算机可能运行不同的操作系统，有运行UNIX的服务器，也有运行Dos、Windows的PC机和运行MacOS的苹果机等等，而各种操作系统之间的文件交流问题，需要建立一个统一的文件传输协议，这就是所谓的FTP。 基于不同的操作系统有不同的FTP应用程序，而所有这些应用程序都遵守同一种协议，这样用户就可以把自己的文件传送给别人，或者从其它的用户环境中获得文件。 与大多数Internet服务一样，FTP也是一个客户机/服务器系统。 用户通过一个支持FTP协议的客户机程序，连接到在远程主机上的FTP服务器程序。 用户通过客户机程序向服务器程序发出命令，服务器程序执行用户所发出的命令，并将执行的结果返回到客户机。 比如说，用户发出一条命令，要求服务器向用户传送某一个文件的一份拷贝，服务器会响应这条命令，将指定文件送至用户的机器上。 客户机程序代表用户接收到这个文件，将其存放在用户目录中。 在FTP的使用当中，用户经常遇到两个概念：下载（Download）和上载（Upload）。 下载文件就是从远程主机拷贝文件至自己的计算机上；上载文件就是将文件从自己的计算机中拷贝至远程主机上。 用Internet语言来说，用户可通过客户机程序向（从）远程主机上载（下载）文件。 使用FTP时必须首先登录，在远程主机上获得相应的权限以后，方可上载或下载文件。 也就是说，要想同哪一台计算机传送文件，就必须具有哪一台计算机的适当授权。 换言之，除非有用户ID和口令，否则便无法传送文件。 这种情况违背了Internet的开放性，Internet上的FTP主机何止千万，不可能要求每个用户在每一台主机上都拥有帐号。 匿名FTP就是为解决这个问题而产生的。 匿名FTP是这样一种机制，用户可通过它连接到远程主机上，并从其下载文件，而无需成为其注册用户。 系统管理员建立了一个特殊的用户ID，名为anonymous, Internet上的任何人在任何地方都可使用该用户ID。