Linux入侵排查步骤 一:查看异常的进程 a、查看cpu占用最多的进程 运行top命令 交互式P键会根据CPU的占用大小进行排序 有的时候会遇到top之后cpu显示特别的低,但是服务器还特别的卡.../lastlog Last 列出截止目前登录过系统的用户信息 W 查看当前的登录账号信息 可以通过/var/log/secure文件 查看登录成功、失败等信息 六:查看最近一段时间被修改的文件 查找入侵时间点修改的文件...看是否有wget对外的异常链接 b、/etc/systemd/system/multi-user.target.wants 是否有服务的软连接 c、可以先kill -STOP $id 先禁止然后在进行排查...服务器要做好安全加固避免被入侵,尤其是重要的数据要做好备份避免被加密勒索。
当Linux主机发生安全事件需要进行入侵排查时,一般可以使用常见的shell命令,通过分析主机的异常现象、进程端口、启动方式、可疑文件和日志记录等信息以确认主机是否被入侵。...在这里,结合工作中Linux安全事件分析处理办法,总结了Linux手工入侵排查过程中的分析方法。...---- 01、检查系统账号 从攻击者的角度来说,入侵者在入侵成功后,往往会留下后门以便再次访问被入侵的系统,而创建系统账号是一种比较常见的后门方式。...在做入侵排查的时候,用户配置文件/etc/passwd和密码配置文件/etc/shadow是需要去重点关注的地方。...ps aux / ps -ef (2)通过top命令显示系统中各个进程的资源占用状况,如发现资源占用过高 top (3)如发现异常,可使用一下命令进一步排查: 查看该进程启动的完整命令行: ps eho
针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Linux服务器入侵排查的思路。...0x01 入侵排查思路 一、账号安全 基本使用: 1、用户信息文件/etc/passwd root:x:0:0:root:/root:/bin/bash account:password:UID:GID...账号失效时间:保留 who 查看当前登录用户(tty本地登陆 pts远程登录) w 查看系统信息,想知道某一时刻用户的行为 uptime 查看登陆多久、多少用户,负载 入侵排查...入侵排查: 进入用户目录下 cat .bash_history >> history.txt 三、端口 使用netstat 网络连接命令,分析可疑端口、IP、PID netstat -antlp|more...入侵排查 1、查询已安装的服务: RPM包安装的服务 chkconfig --list 查看服务自启动状态,可以看到所有的RPM包安装的服务 ps aux | grep crond 查看当前服务
目录 排查思路 深入分析,查找入侵原因 检查恶意进程及非法端口 检查恶意程序和可疑启动项 检查第三方软件漏洞 Part2运行进程排查 Part3端口开放检查 Part4检查主机服务 Part5检查历史命令...Part6查看计划任务 Part7查看制定文件夹七天内被修改过的文件 Part8扫描主机驱动程序 Part10日志排查 Part11登陆排查 Part12启动项排查 排查思路 深入分析,查找入侵原因...· uname -a · cat /proc/version · lsb_release -a Part2运行进程排查 首先熟悉一下ps命令的参数: · ps [选项] -e 显示所有进程。.../var/log/userlog 记录所有等级用户信息的日志 · /var/log/cron 记录crontab命令是否被正确的执行 · /var/log/xferlog(vsftpd.log) 记录Linux...==0{print $1}' /etc/passwd #查看超级用户(uid=0) Part12启动项排查 · chkconfig --list 列出所有开机启动项 · 主要排查的启动项有: · /etc
目前Linux没有好用的webshell木马查杀工具,此时可将web目录文件下载到Windows中,用D盾进行查杀。
来自:DevOps技术栈 一、服务器入侵现象 近期有一个朋友的服务器(自己做了网站)好像遭遇了入侵,具体现象是:服务器 CPU 资源长期 100%,负载较高。服务器上面的服务不能正常提供服务。...二、服务器排查和处理 2.1、服务器被入侵的可能原因 服务器 ssh 密码,设置得很简单。 腾讯云安全组范围放得很大。 使用了宝塔,宝塔面板的密码也是很简单的密码(应该不是这个入侵入口)。...2.2、排查和处理步骤 1.ps -ef / top 找出占用进程最大的服务 问题现象 ps/top命令已经被替换了。...我认为入侵者应该放了一些定时任务和启动脚本里面。...pkill -f linux_amd64 killall xredis pkill -f xredis killall Linux2.6 killall .chornyd pkill -f .chornyd
Linux入侵排查时安全工具整理 近期有协助网友排查一次Linux云主机中了挖矿病毒的情况: ?...(图片可放大查看) 溯源排查基本步骤可以参考这篇经典文章 《Linux 应急响应入门:入侵排查应该这样做》 网上类似这样文章我也收藏了一些,都总结得非常不错 1、《linux 溯源命令集合-主机层(持续更新...6、《Linux应急响应之工具篇》 https://cloud.tencent.com/developer/article/1449023 当然应对Linux入侵时我们也可以使用一些自动化的安全工具协助排查溯源...安全工具 1、GScan GScan程序旨在为安全应急响应人员对Linux主机排查时提供便利,实现主机侧Checklist的自动全面化检测,根据检测结果自动数据聚合,进行黑客攻击路径溯源。...rootkit是Linux平台下最常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马。
来源:计算机与网络安全 ID:Computer-network 随着开源产品的越来越盛行,作为一个Linux运维工程师,能够清晰地鉴别异常机器是否已经被入侵了显得至关重要,个人结合自己的工作经历,整理了几种常见的机器被黑情况供参考...背景信息:以下情况是在CentOS 6.9的系统中查看的,其它Linux发行版类似。 1.入侵者可能会删除机器的日志信息,可以查看日志信息是否还存在或者是否被清空,相关命令示例: ?...2.入侵者可能创建一个新的存放用户名及密码文件,可以查看/etc/passwd及/etc/shadow文件,相关命令示例: ?...3.入侵者可能修改用户名及密码文件,可以查看/etc/passwd及/etc/shadow文件内容进行鉴别,相关命令示例: ?...11.如果确认机器已经被入侵,重要文件已经被删除,可以尝试找回被删除的文件。 1>当进程打开了某个文件时,只要该进程保持打开该文件,即使将其删除,它依然存在于磁盘中。
在黑客入侵之前,必须使用chattr +a对/var/log/wtmp文件进行锁定,避免被黑客删除 5、sudo 用户列表 /etc/sudoers 入侵排查 # 查询特权用户特权用户(uid 为0)...这些脚本包括一些命令,用于启动运行Linux系统所需的服务 开机执行脚本的两种方法: 在 /etc/rc.local 的 exit 0 语句之间添加启动脚本。...入侵排查: more /etc/rc.local /etc/rc.d/rc[0~6].d ls -l /etc/rc.d/rc3.d/ 计划任务排查: 需要注意的几处利用cron的路径: crontab...cron.daily/、/etc/cron.weekly/、/etc/cron.monthly/目录中,让它每小时/天/星期/月执行一次 小技巧: more /etc/cron.daily/* 查看目录下所有文件 入侵排查.../* /etc/cron.hourly/* /etc/cron.monthly/* /etc/cron.weekly/ /etc/anacrontab /var/spool/anacron/* 入侵排查
今天来给大家分享下这两天遇到的一个问题,服务器被挖矿了,把我的排查记录分享下,希望能帮到有需要的同学。...问题原因 ---- 多台服务器持续告警CPU过高,服务器为K8s的应用节点,正常情况下CPU使用率都挺低的,通过排查是原因是被挖矿了,下面为定位过程 定位过程 ---- 登陆问题主机10.92.0.X,...根据定时任务中的可疑文件所在路径/usr/lib/libiacpkmn.so.3, 排查中发现/etc/rc.d/init.d/,/usr/bin/存在可执行文件nfstruncate, 在rc0.d-rc6....d目录下都存在S01nfstruncate文件,可能是自启动文件 现在排查的很明朗了,接下来着手清理工作 1....这次分享希望对也中挖矿程序的同学, 提供一些排查思路
容器的运行环境是相对独立而纯粹,当容器遭受攻击时,急需对可疑的容器进行入侵排查以确认是否已失陷,并进一步进行应急处理和溯源分析找到攻击来源。...(2)使用docker commit,用于将被入侵的容器来构建镜像,从而保留现场痕迹,以便溯源。 (3)将正在运行的Docker容器禁用网络。
在黑客入侵之前,必须使用chattr +a对/var/log/wtmp文件进行锁定,避免被黑客删除 5、sudo 用户列表 /etc/sudoers 入侵排查: # 查询特权用户特权用户(uid 为0)...这些脚本包括一些命令,用于启动运行Linux系统所需的服务 开机执行脚本的两种方法: 在 /etc/rc.local 的 exit 0 语句之间添加启动脚本。...入侵排查: more /etc/rc.local/etc/rc.d/rc[0~6].dls -l /etc/rc.d/rc3.d/ 计划任务排查: 需要注意的几处利用cron的路径: crontab -...cron.daily/、/etc/cron.weekly/、/etc/cron.monthly/目录中,让它每小时/天/星期/月执行一次 小技巧: more /etc/cron.daily/* 查看目录下所有文件 入侵排查...cron.daily/* /etc/cron.hourly/* /etc/cron.monthly/*/etc/cron.weekly//etc/anacrontab/var/spool/anacron/* 入侵排查
一、前言 常见的应急响应事件分类: Web入侵:网页挂马、主页篡改、Webshell 系统入侵:病毒木马、勒索软件、远控后门 网络攻击:DDOS攻击、DNS劫持、ARP欺骗 二、Windows入侵排查...下可以使用Shell命令组合查询分析 三、Linux入侵排查 账号安全 必看文件 /etc/passwd /etc/shadow 必会命令:who,w,uptime,usermod,userdel...入侵排查 查询特权用户:awk -F: ‘$3==0{print $1}’ /etc/passwd 查询可以远程登录的账号:awk ‘/\$1|\$6/{print $1}’ /etc/shadow 查询具有...sudo权限的账号:more /etc/sudoers | grep -v “^#\|^$” grep “ALL=(ALL)” 历史命令 必会命令:history 入侵排查:cat .bash_history...Linux中有一个命令:md5sum可以查看文件的md5值,同理,Windows也有命令或者工具可以查看文件的md5值 ?
Windows系统被入侵后,通常会导致系统资源占用过高、异常端口和进程、可疑的账号或文件等,给业务系统带来不稳定等诸多问题。...一些病毒木马会随着计算机启动而启动并获取一定的控制权,启动方式多种多样,比如注册表、服务、计划任务等,这些都是需要重点排查的地方。另外,需要重点关注服务器日志信息,并从里面挖掘有价值的信息。...基于以上,我们总结了Windows服务器入侵排查的思路,从Windows入侵现象、启动方式、安全日志等方面,对服务器最容易出现安全问题的地方进行入手排查。...c、通过微软官方提供的 Process Explorer 等工具进行排查 。 d、查看可疑的进程及其子进程。
原文:https://cloud.tencent.com/developer/article/1882357 1、入侵者可能会删除机器的日志信息,可以查看日志信息是否还存在或者是否被清空,相关命令示例:...1.入侵者可能会删除机器的日志信息,可以查看日志信息是否还存在或者是否被清空,相关命令示例: [root@hlmcen69n3 ~]# ll -h /var/log 2.入侵者可能创建一个新的存放用户名及密码文件.... 1 root root 816 Sep 15 11:36 /etc/shadow ----------. 1 root root 718 Sep 15 11:36 /etc/shadow- 3.入侵者可能修改用户名及密码文件...hlmcen69n3 ~]# ll /usr/bin/python -rwxr-xr-x. 2 root root 9032 Aug 18 2016 /usr/bin/python 11.如果确认机器已经被入侵...假设入侵者将 / var/log/secure 文件删除掉了,尝试将 / var/log/secure 文件恢复的方法可以参考如下: a.
Windows入侵排查 一:检查系统账号 1、检查账号是否有弱口令 2、检查是否有新增、异常账号 确认方式: a、打开cmd 输入:lusrmgr.msc 查看如果有异常的账号进行删除 b、net...可以通过搜索指定修改时间进行搜索,异常的文件可以dump下来使用第三方工具进行检测 六:使用第三方杀毒工具例如:腾讯管家、火绒 以上就是windows简单排查方式。
0x00 前言 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程...,总结了一些Window服务器入侵排查的思路。...0x01 入侵排查思路 一、检查系统账号安全 1、查看服务器是否有弱口令,远程管理端口是否对公网开放。 检查方法:据实际情况咨询相关服务器管理员。 2、查看服务器是否存在可疑账号、新增账号。...c、通过微软官方提供的 Process Explorer 等工具进行排查 。 d、查看可疑的进程及其子进程。...Linux下,使用Shell命令组合查询分析 0x03 工具篇 病毒分析 : PCHunter:http://www.xuetr.com 火绒剑:https://www.huorong.cn Process
渗透测试基础- - -windows入侵排查 目录 一,文件排查 二,进程排查 三,系统信息排查 四,登录日志排查 一,文件排查 (1)开机启动有无异常文件 打开任务管理器----选择“启动” (2)...各个盘下的temp(tmp)相关目录下查看有无异常文件 :windwos产生的临时文件 (3)浏览器浏览痕迹、浏览器下载文件、浏览器cookie信息,根据不同浏览器进行排查,或者快捷键【ctrl+H】...二,进程排查 (1)netstat -ano 查看目前的网络连接,定位可疑的 ESTABLISHED netstat 显示网络连接、路由表和网络接口信息; 常见的状态: LISTENING 侦听状态...右击程序----选择“打开文件夹所在的位置” 下面提供一些常用的病毒使用的端口信息,可以作为参考: 三,系统信息排查 (1)查看环境变量的设置 【我的电脑】➜【属性】➜【高级系统设置】➜【高级】➜【环境变量...】 排查的内容: 1)temp变量的所在位置的内容; 2)后缀映射 PATHEXT 是否包含有非windows的后缀; 3)有没有增加其他的路径到 PATH 变量中(对用户变量和系统变量都要进行排查);
果断登录路由器发现我的Linux虚拟机居然占用了所有的上行流量,事态趋向严重了:我的Linux机器被人中了木马。...开始排查: 1.ps和top上场 ps命令发现其中有两个随机英文名程序,应该不是我自己的程序。使用top命令发现如下图: ?...有可能是之前设置了root密码为123456,又把机器放到过公网上,被人入侵了。 来,查一把它在相关路径中还放了哪些程序: ?...其实到这里,我们仅仅是通过一些简单的命令和对系统的掌握情况进行了问题定位和排除,我们还没有对系统日志/var/log/messages /var/log/secure进行排查,hacker就已经投降了。
常见入侵 挖矿 # 表象:CPU增高、可疑定时任务、外联矿池IP。...# 告警:Hids(主要)、流量监控设备 # 动作:确认Webshell文件内容与可用性→ 酌情断网,摘掉公网出口IP→ 通过日志等确认Webshell文件访问记录→ 确定Webshell入侵来源, #...是业务逻辑漏洞导致、开源组件漏洞还是弱口令与未授权等情况导致 →排查应用其他机器情况, # 全盘扫描Webshell文件→ 缩容机器,修复相关问题重新恢复应用开放。...内网入侵 # 表象:以入侵的跳板机为源头进行端口扫描、SSH爆破、内网渗透操作、域控攻击等。...# 告警:Hids(主要)、蜜罐、域控监控(ATA等) # 动作:确定入侵边界再进行处理,通常蜜罐等存在批量扫描爆破记录,需登录前序遭入侵机器确认情况, # 方便后续批量处理,这个情况较为复杂后期单独写一篇文章
领取专属 10元无门槛券
手把手带您无忧上云