本菜菜今天在处置的时候有遇到一台linux主机 在排查过程中原因好好好好好奇葩 想到大家可能也会遇到很多linux主机,故发一篇这样的文章 虽然今天处置的时候并非本文章情况,等过段时间结束了我在发一下我的处置过程涉及到的技术点以及思路
昨天收集了关于Linux的应急响应排查处置手册,里面内容我认为还是比较详细的,对于所在单位安全制度不允许down文件下来,且又不能upfile排查辅助工具的单位是实用的。...Tools: Gscan and LinuxEmergency 一.Tools 0 a Gscan 本程序旨在为安全应急响应人员对Linux主机排查时提供便利 实现主机侧Checklist的自动全面化检测...⚠️文章中部段落位置有运行截图可以先看运行截图然后回到开头阅读 a LinuxEmergency Linux下的应急工具,支持CentOS系统和RedHat系统。...学会Linux应急新操作 Part. 1....应急手册更新-简说 这是关于应急处置手册的第二篇文章 第一篇是Linux手工应急响应检查手册,适用于单位安全制度不能上传工具且不能下载数据的操作思路 本文是继Linux应急响应文章的第二篇,适用于Linux
一个高可用的应急故障恢复方案能够确保在遇到灾难性故障时,能迅速、有效地恢复系统的正常运行。 系统架构概述 本产品系统采用两地主备集群架构,核心技术包括MySQL和Redis集群。...以下是一些关键组件和服务: 主数据库集群(MySQL) 缓存集群(Redis) 应用服务器 负载均衡器 应急恢复关键点 1. 预案编制 风险评估: 识别可能导致系统故障的风险。...总结 一个完善的应急故障恢复操作手册是企业连续运营的保障。通过严密的风险评估、备份策略和恢复步骤,企业可以在关键时刻迅速响应,降低停机时间,确保业务连续性。
客户名称:Linux应急响应报告时间:2024年-07月-25日报告类型: 分析报告 分析报告**攻击时段:**2024年07月25日15时30分**攻击影响:** 2024年07月25日15时30分,
目录 排查用户相关的信息 排查进程端口相关的信息 查找恶意程序并杀掉 斩草除根 判断入侵方式,修复漏洞 当我们被告知一台Linux服务器被黑客入侵,黑客利用该服务器进行挖矿...#查看爆破用户名字典 总的来说,黑客入侵主机有下列几种情况: 通过 redis 未授权漏洞入侵(好多挖矿程序是通过这个) ssh 弱口令暴力破解 Web 程序漏洞入侵 参考文章: 记一次Linux...木马清除过程 相关文章:Redis未授权访问漏洞 Linux挖矿病毒的清除与分析 Linux下性能监控、守护进程与计划任务管理 来源:
背景 客户的监控系统发现有异常行为,我临时顶替应急的同事处理一下。...应急响应流程 言归正传,应急响应的标准流程应该如何?...Lessons learned总结反思事件,一方面从源头上减小安全事件的发现,另一方面提升应急响应的效率。 上面的应急响应还是非常片面的,我搜罗了一系列网友分享的应急响应经验,整理成章方便以后查阅。.../rkhunter/rkhunter/1.4.4/rkhunter-1.4.4.tar.gz 我测试的时候发现上面链接无法下载了,所以换了下面的链接 wget https://fossies.org/linux...查看Linux帐户 busybox cat /etc/passwd | grep -v nologin busybox cat /etc/shadow busybox stat /etc/passwd
背景 前一段时间我处理了一次应急响应,我还输出了一篇文章 Linux应急响应笔记。...这两天又处理了一次病毒入侵,在前一次的基础上,这次应急做了一些自动化脚本,应急响应效率有了一定程度的提升,故另做一份笔记。...PS:本文重在分享应急响应经验,文中保留了恶意网址,但是删除了恶意脚本及程序的下载路径。本文仅用于技术讨论与分析,严禁用于任何非法用途,违者后果自负。...应急操作笔记 查看我上一次 Linux应急响应笔记,我发现罗列这么多命令,很多时候眼花缭乱,操作起来也不方便,不如写个shell脚本自动化收集信息。...tar -zcvf GatherInfo.tar.gz GatherInfo 信息收集结果分析 查看自动化收集的信息GatherInfo下的所有文件内容,根据下面的Checklist表项进行挨个梳理排查 应急响应检查表
Windows下系统应急: 首先 断网~ 一、检测阶段 1. 备份Web页面 ? 2. 查找隐藏账户 ? 3. 查找可疑进程 ? ? ? 4. 查杀Webshell ? 5....5.根除阶段 (1)修改服务器超级管理员账户密码 (2)修改网站后台管理员账户密码 (3)修复漏洞 (4)更改后台地址 6.接入网络恢复访问 Linux下系统应急: 首先 断网~ 一、 检测阶段 1.
针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,整理了一些思路。.../clamscan -r --bell -i /bin 扫描bin目录并且显示有问题的文件的扫描结果 10.webshell查杀 linux版本: 河马webshell查杀:http://www.shellpub.com
最近被安排做一些应急响应的工作,所以学习了一下Linux进程相关的知识,越学越多,那就记下来吧!...在Linux中: 打开terminal,也就是终端程序,之后可以获得一个shell 通过ssh连接到linux的ssh-server 服务器,也可以获得一个shell 通常我们都是通过以上两种方式来获得一个...进程组 进程的概念大家都能理解的话,进程组就很好说了,其实就是一堆进程捆一起了,之后形成一个组就叫进程组了 这么做肯定是有意义的,不然Linux也不会这么搞,主要还是为了方便管理。...---- 参考文章 https://www.cnblogs.com/lvyahui/p/7389554.html https://wudaijun.com/2016/08/linux-job-control.../ https://zhuanlan.zhihu.com/p/80439267 http://www.ruanyifeng.com/blog/2016/02/linux-daemon.html https
排查过程 过程向客户了解情况后,登录了服务器进行检查,发现历史执行过的命令有些异常,系统帐号被添加了admin,用户组为admin,向客户确认后为客户所执行,帐...
guest -s /bin/bash -p 1EwkP89RH 登录牧云,看到源IP地址是法国的217.128.86.8 牧云没有该IP的其他告警 境外IP创建系统帐号,基本可确认是真实攻击,需启动应急
整理下自己之前做的应急响应相关的碎片笔记,太多了,没办法全部列出来,先整理一些常用的。 1....用户 Linux所有用户都会在/etc/passwd、/etc/shadow、/etc/group文件中记录 cat /etc/passwd :查看是否有其他uid,gid为0的情况 less /etc
0x01 应急场景 某天,安全管理员在登录安全设备巡检时,发现某台网站服务器持续向境外IP发起连接,下载病毒源: ?
写在前面 博文内容为 《BPF Performance Tools》 读书笔记整理,对原书提到的命令做了简单扩充 博文内容涉及 Linux 60秒快速性能分析命令的简单说明以及指标解释: 理解不足小伙伴帮忙指正...---知乎(三冬三夏) Linux 60秒分析 下面这个清单适用于任何性能问题的分析工作,也反映了笔者在实际工作中,当登录到一台表现不佳的 Linux 系统中后,在最初60秒内通常会进行的操作。...┌──[root@vms100.liruilongs.github.io]-[~] └─$mpstat -P ALL 1 Linux 4.18.0-477.27.1.el8_8.x86_64 (vms100...iostat -xz ┌──[root@vms100.liruilongs.github.io]-[~] └─$iostat -xz Linux 4.18.0-477.27.1.el8_8.x86_64...内核缓冲区不足而导致的接收帧丢弃率 txdrop/s 由于Linux内核缓冲区不足而导致的发送帧丢弃率 txcarr/s 由于载波错误而导致的发送帧丢弃率 rxfram/s 由于帧对齐错误而导致的接收帧丢弃率
一、提交攻击者IP 本次应急的背景,是监控到了webshell告警,需要上机排查。因此首先需要定位web应用,再定位web日志,才能排查攻击者IP。
目前已经推出windows基础篇及此篇linux基础篇试试水,方便大家进行该行动的时候查阅知识点进行基础溯源,同时也欢迎大家反馈想法与意见,如果后续效果可以的话,我们会推出一些真实脱敏的溯源加分案例进行交流...0x01 技能树 Linux常用命令 常见日志的位置以及分析方法 熟悉常规黑客的攻击手法 常规安全事件的处置思路 0x02 linux 常用命令 查找与文本操作 1、find 根目录下所有.jsp
0x00 前言 Linux盖茨木马是一类有着丰富历史,隐藏手法巧妙,网络攻击行为显著的DDoS木马,主要恶意特点是具备了后门程序,DDoS攻击的能力,并且会替换常用的系统文件进行伪装。...0x01 应急场景 某天,网站管理员发现服务器CPU资源异常,几个异常进程占用大量网络带宽: ? 0x02 事件分析 异常IP连接: ?...从以上种种行为发现该病毒与“盖茨木马”有点类似,具体技术分析细节详见: Linux平台“盖茨木马”分析 http://www.freebuf.com/articles/system/117823.html...悬镜服务器卫士丨Linux平台“盖茨木马”分析 http://www.sohu.com/a/117926079_515168 手动清除木马过程: 1、简单判断有无木马 #有无下列文件 cat /etc
Linux的进程排查总体思路和windows的不会偏差太多,具体到细则上存在差异,今天就和师傅们来探讨下Linux下的进程分析及排查。...所以相对来说Linux的进程排查思路可以收缩一些,不会像Windows那样及其需要发散思维。...Up在这里呢浅浅结合了工作经验给大家分享一下我自己的思路,和大家走一遍流程: ①确定告警类型 最重要的一点,开始前绝对要明确自己要应急响应些什么,总有消息来源:发生什么了?在哪发生的?消息来源是哪里?...这些信息总要对的上再开始应急响应,不可能甲方半夜爬起来没事做让你做个应急响应吧?...kworker "kworker" 是 Linux 内核的工作线程,用于异步处理工作队列中的任务。
由于应急处理往往时间紧,所以尝试将应急中常见处理方法整合到脚本中,可自动化实现部分应急工作。...3、判断常见命令是否被篡改 在之前的应急响应中出现过常见命令被非法篡改情况,如ps、netstat命令被恶意替换,利用stat查看文件详细信息,通过比对时间的方式判断命令是否被篡改。...查看passwd文件,查找用户id为0的特权用户 12、secure日志分析 日志分析是应急的重头工作,尤其是在应急后期的溯源阶段,日志分析更显得尤为重要,由于日志种类包括服务器日志、应用日志,此处只是分析了...脚本整体的思路比较简单,就是远程登录到linux执行常见的应急命令,脚本中的命令在centos下都是可正常运行的,可以在根据实际环境自行在对命令做调整。...blog.nsfocus.net/emergency-response-case-study/ https://github.com/grayddq https://github.com/T0xst/linux
领取专属 10元无门槛券
手把手带您无忧上云