[转载]应急响应和溯源排查

其他 2020-03-25 10:01:22 阅读次数: 0

来源:https://sec.ctrip.com/doc/企业应急响应和溯源排查之道.pdf

排查步骤:
检查进程及文件

//快速查看进程信息,获取进程文件位置
    top -c
//杀死进程          
    kill -q PID   
//根据文件名特征查找
    grep -rni "shellname"*
//根据文件大小特征查找
    find / -size 1223123c
//根据文件创建时间查找
    find / -mtime 1 -name *
//查看进程占用信息
    lsof -p PID
//读取进程在内存中的信息
    cd /proc/PID
    cat *|strings -n 5|more

检测网络

//查看port端口
    lsof -i:"port"
//查看不正常端口
    netstat -nap
//查看Tcp连接
    netstat -an |grep tcp|awk '{print \$5}'
//查看syn连接
    netstat -an|grep SYN|awk '{print \$5}'|awl -F:'{print \$1}'|sort|uniq -c|sort -nr|more

检查系统命令

ls -alt /bin/|head -n 10
ls -alt /usr/sbin/|head -n 10
ls -alt /usr/bin/|head -n 10


猜你喜欢

转载自www.cnblogs.com/rookieDanny/p/12564093.html
今日推荐
TIOBE 5 月榜单:Fortran “复活”进入 Top 10
GCC 14.1 发布
面壁智能发布 Eurux-8x22B 开源大模型 —— 堪称「理科状元」
开源日报 | 谷歌扶持鸿蒙上位;开源Rabbit R1;Docker加持的安卓手机;微软的焦虑和野心;海尔电器把开放平台关了
中国码农的“35岁魔咒”
蘭雅 CorelDRAW 插件 2024.5.1 国际劳动节版,免费下载
Arc Browser for Windows 1.0 正式 GA
90后程序员开发视频搬运软件、不到一年获利超 700 万,结局很刑!
周排行
Java自定义时间格式
同步整形电路
在开发中最最最常用的字符串的属性大集合
Linux 查看端口占用并杀掉
Java基础四:ArrayList
多线程之死锁就是这么简单
mysql 基础命令集
awk 命令详解
Centos6.3编译安装nginx+php步骤
OCR (Optical Character Recognition,光学字符识别)
每日归档
更多
2024-05-08(42)
2024-05-07(14)
2024-05-06(40)
2024-05-05(0)
2024-05-04(7)
2024-05-03(19)
2024-05-02(0)
2024-05-01(4)
2024-04-30(1)
2024-04-29(40)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022