背景:主机被黑客攻破,但要溯源找到源ip和相对应操作日志导致不能关闭主机,要怎么处理呢?
方法一:禁用网卡
前提:主机没有配备VNC,主机有多个网卡,禁用某网卡后可以通过其他网卡连接主机。
1、确认源ip是使用哪个网卡连接上主机的,一般是外网。
2、ifconfig或ip a查看网卡情况(这里我的ens33和ens37都是NAT模式的网卡)
3、ifconfig、ifdown、ip link set三种方式禁用网卡
(1)ifconfig [NIC_NAME] down #NIC_NAME表示网卡名称
例如:ifconfig ens37 down
(2)ifdown [NIC_NAME] #NIC_NAME表示网卡名称
***ifup和ifdown不支持以enpXXX命名的网卡,也不支持ensXXX命名的网卡,支持ethXXX的网卡**
例如:ifdown lo
(3)ip link set [NIC_NAME] down #NIC_NAME表示网卡名称
例如:ip link set ens37 down
4、扩展:ifconfig、ifdown、ip link set三种方式启用网卡
(1)ifconfig [NIC_NAME] up
(2)ifup [NIC_NAME]
***ifup和ifdown不支持以enpXXX命名的网卡,也不支持ensXXX命名的网卡,支持ethXXX的网卡**
(3)ip link set [NIC_NAME] up
方法二:禁用network,采用远程VNC
前提:主机有配备VNC,可以通过远程VNC连接主机并操作。
1、禁用network服务
systemctl stop network
2、使用远程VNC溯源