首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

Linux应急响应笔记

背景 前一段时间我处理了一次应急响应,我还输出了一篇文章 Linux应急响应笔记。...这两天又处理了一次病毒入侵,在前一次的基础上,这次应急做了一些自动化脚本,应急响应效率有了一定程度的提升,故另做一份笔记。...PS:本文重在分享应急响应经验,文中保留了恶意网址,但是删除了恶意脚本及程序的下载路径。本文仅用于技术讨论与分析,严禁用于任何非法用途,违者后果自负。...应急操作笔记 查看我上一次 Linux应急响应笔记,我发现罗列这么多命令,很多时候眼花缭乱,操作起来也不方便,不如写个shell脚本自动化收集信息。...tar -zcvf GatherInfo.tar.gz GatherInfo 信息收集结果分析 查看自动化收集的信息GatherInfo下的所有文件内容,根据下面的Checklist表项进行挨个梳理排查 应急响应检查表

3.3K51
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    Linux应急响应笔记

    背景 客户的监控系统发现有异常行为,我临时顶替应急的同事处理一下。...应急响应流程 言归正传,应急响应的标准流程应该如何?...Lessons learned总结反思事件,一方面从源头上减小安全事件的发现,另一方面提升应急响应的效率。 上面的应急响应还是非常片面的,我搜罗了一系列网友分享的应急响应经验,整理成章方便以后查阅。...我把应急响应流程分为三个部分,分别是 【1】入侵现场,【2】攻击维持,【3】入侵原因,下面我将从这三个方面展开 入侵现场 所谓入侵现场,是指服务器被怀疑中毒的现场环境,一般来说,服务器被怀疑中毒都有异常现象...查看Linux帐户 busybox cat /etc/passwd | grep -v nologin busybox cat /etc/shadow busybox stat /etc/passwd

    1.2K30

    Linux 守护进程|应急响应

    最近被安排做一些应急响应的工作,所以学习了一下Linux进程相关的知识,越学越多,那就记下来吧!...在Linux中: 打开terminal,也就是终端程序,之后可以获得一个shell 通过ssh连接到linux的ssh-server 服务器,也可以获得一个shell 通常我们都是通过以上两种方式来获得一个...进程组 进程的概念大家都能理解的话,进程组就很好说了,其实就是一堆进程捆一起了,之后形成一个组就叫进程组了 这么做肯定是有意义的,不然Linux也不会这么搞,主要还是为了方便管理。...---- 参考文章 https://www.cnblogs.com/lvyahui/p/7389554.html https://wudaijun.com/2016/08/linux-job-control.../ https://zhuanlan.zhihu.com/p/80439267 http://www.ruanyifeng.com/blog/2016/02/linux-daemon.html https

    3.8K30

    Linux应急响应(四):盖茨木马

    0x00 前言 Linux盖茨木马是一类有着丰富历史,隐藏手法巧妙,网络攻击行为显著的DDoS木马,主要恶意特点是具备了后门程序,DDoS攻击的能力,并且会替换常用的系统文件进行伪装。...0x01 应急场景 某天,网站管理员发现服务器CPU资源异常,几个异常进程占用大量网络带宽: ? 0x02 事件分析 异常IP连接: ?...从以上种种行为发现该病毒与“盖茨木马”有点类似,具体技术分析细节详见: Linux平台“盖茨木马”分析 http://www.freebuf.com/articles/system/117823.html...悬镜服务器卫士丨Linux平台“盖茨木马”分析 http://www.sohu.com/a/117926079_515168 手动清除木马过程: 1、简单判断有无木马 #有无下列文件 cat /etc

    2K41

    应急响应篇——Linux进程排查

    Linux的进程排查总体思路和windows的不会偏差太多,具体到细则上存在差异,今天就和师傅们来探讨下Linux下的进程分析及排查。...Up在这里呢浅浅结合了工作经验给大家分享一下我自己的思路,和大家走一遍流程: ①确定告警类型 最重要的一点,开始前绝对要明确自己要应急响应些什么,总有消息来源:发生什么了?在哪发生的?消息来源是哪里?...这些信息总要对的上再开始应急响应,不可能甲方半夜爬起来没事做让你做个应急响应吧?...ksoftirqd线程与硬中断处理线程(例如中断处理程序或底半部处理程序)共同协作,确保系统能够高效地响应各种硬件事件。 migration 进程迁移就是将一个进程从当前位置移动到指定的处理器上。...用来处理内核事件很多软硬件事件(比如断电,文件变更)被转换为events,并分发给对相应事件感兴趣的线程进行响应

    36110

    Linux应急响应之工具篇

    由于应急处理往往时间紧,所以尝试将应急中常见处理方法整合到脚本中,可自动化实现部分应急工作。...3、判断常见命令是否被篡改 在之前的应急响应中出现过常见命令被非法篡改情况,如ps、netstat命令被恶意替换,利用stat查看文件详细信息,通过比对时间的方式判断命令是否被篡改。...查看passwd文件,查找用户id为0的特权用户 12、secure日志分析 日志分析是应急的重头工作,尤其是在应急后期的溯源阶段,日志分析更显得尤为重要,由于日志种类包括服务器日志、应用日志,此处只是分析了...脚本整体的思路比较简单,就是远程登录到linux执行常见的应急命令,脚本中的命令在centos下都是可正常运行的,可以在根据实际环境自行在对命令做调整。...blog.nsfocus.net/emergency-response-case-study/ https://github.com/grayddq https://github.com/T0xst/linux

    2.1K51

    Linux 应急响应流程及实战演练

    针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 Linux 服务器入侵排查的思路。.../bin/ls 提取 rpm 包中 ls 命令到当前目录的 /bin/ls 下 cp /root/bin/ls /bin/ 把 ls 命令复制到 /bin/ 目录 修复文件丢失 0x03 应急响应实战之...0x04 应急响应实战之短连接 短连接(short connnection)是相对于长连接而言的概念,指的是在数据传送过程中,只在需要发送数据时,才去建立一个连接,数据发送完成后,则断开此连接,即每次连接只完成一项业务的发送...0x05 应急响应实战之挖矿病毒 随着虚拟货币的疯狂炒作,利用挖矿脚本来实现流量变现,使得挖矿病毒成为不法分子利用最为频繁的攻击方式。...总结了几种预防措施: 1、安装安全软件并升级病毒库,定期全盘扫描,保持实时防护 2、及时更新 Windows 安全补丁,开启防火墙临时关闭端口 3、及时更新 web漏洞补丁,升级web组件 0x06 应急响应实战之盖茨木马

    4.5K55

    ICMPDNS 隧道处置方法 | Linux 应急响应

    还提到演练将至,给蓝队兄弟上点强度 于是便有了今天这篇文章,当然这是玩笑话,根本原因在于,我看到的网络安全文章中,基本上都在讨论如何发现 ICMP 隧道,感觉要把它拆开了,揉碎了,仔细研究一遍,但对于应急响应人员来说.../usr/bin/bpftrace #include #include #include kprobe:_....zip unzip pingtunnel_linux_amd64.zip # 启动服务端,设置 key 为 1234 .....zip unzip pingtunnel_linux_amd64.zip # 连接服务端 sudo ....应急人员上机处置 根据安全设备告警,得知存在 ICMP 隧道,连接地址为 192.168.31.83 通过 netstat 进行查看 果然看不到 因为当前服务器已经默认存在 bpftrace ,所以这里就先不重复安装了

    48510

    linux应急常用命令+技巧总结

    不输的办法只有一个,就是不上场 常用命令 top # 命令可以直接看到进程实时情况。...`strace -f -p pid` 查看进行的行为 busybox是应急常用的工具。...前两天在另外的项目组上发现的某个挖矿病毒就会修改hosts文件 这是从那台服务器上提取的一些恶意的配置内容 0.0.0.0 aliyun.one 0.0.0.0 evle.org 日志 secure是应急中最常用的文件...这个日志文件中会记录Linux系统的绝大多数重要信息,如果系统出现问题时,首先要检查的就应该是这个日志文件 /var/log/btmp 记录错误登录日志,这个文件是二进制文件,不能直接vi查看,而要使用...secure 记录验证和授权方面的信息,只要涉及账号和密码的程序都会记录,比如SSH登录,su切换用户,sudo授权,甚至添加用户和修改用户密码都会记录在这个日志文件中 注:secure 在一些较新的linux

    1.1K20

    聊聊应急响应

    “俗话说:好记性不如烂笔头,最近做了几个应急响应就来总结下。”     ...应急响应分为四个阶段:前期沟通,事件处理,事件分析,报告交付,前期沟通主要是和客户交流事件情况,了解是什么安全事件,客户是否做了处理,如果做了处理,做了那些处理。...沟通贯穿整个应急响应流程,也是最重要的,切记不要一上来就查,了解事件原因才会事半功倍。...0x01 "止血"     应急响应事件分为五大类,网络攻击事件,恶意程序事件,web恶意代码,信息破坏事件和其他事件,每个事件的具体描述如下 image.png (图片来源:https://help.aliyun.com...,我觉得更重要的是攻击者的攻击思路,他在这个系统里做了什么,他为什么要这么做,他这么做得到了什么,换作是你,你发现了这个漏洞,你会怎么做,向高手学习,才能成长更快,总而言之,应急响应,任重道远。

    1.1K00
    领券