入侵排查
(1)首先我們要做的就是恢復一些我們常用的用來排查的工具,比如,ls,ps,netstat,lsof等命令。
/root/chattr -i -a /bin/ps && rm /bin/ps -f #刪除這些可能被感染的命令,比如ps,ls,netstat,lsof,top等。可以通過ls -lh /bin/ps 查看這些命令的大小和正常程序是否一致
接下來可以找一個相同操作系統的的ps,ls, netstat,lsof命令,將這些命令復制到被感染的系統中,臨時使用。
(2)其次我們需要對系統做一個全面檢查
a.檢查系統日志
檢查系統錯誤登陸日志,統計IP重試次數(last命令是查看系統登陸日志,比如系統被reboot或登陸情況)
注:此時last命令也有可能變得不可靠,需要檢查
b.檢查系統用戶
查看是否有異常的系統用戶
[root@bastion-IDC ~]# cat /etc/passwd
查看是否產生了新用戶,UID和GID為0的用戶
[root@bastion-IDC ~]# grep “0” /etc/passwd
查看passwd的修改時間,判斷是否在不知的情況下添加用戶
[root@bastion-IDC ~]# ls -l /etc/passwd
查看是否存在特權用戶
[root@bastion ~]# awk -F: ‘3==0 {print3==0 {print1}’ /etc/passwd
查看是否存在空口令帳戶
[root@bastion ~]# awk -F: ‘length(2)==0 {print2)==0 {print1}’ /etc/shadow
c.檢查異常進程
top #仔細檢查異常進程pid
ls -l /proc/pid/exe 查看異常進程命令所在地
kill -9 970 #殺掉這個進程之后發現根本不管用,春風吹又生,又從/usr/bin/轉移到/bin,再又轉移到/tmp.這個時候必須注意倒病毒后臺有監控進程,進程死掉了之后,立馬又重新起來一個新的進程。
3、更多異常文件的發現
(1)查看定時任務文件crontab -l 并沒有發現什么一次,查看/etc/crontab發現異常腳本gcc.sh。
(2)然后查看系統啟動文件rc.local然后進入/etc/init.d目錄查看,發現比較奇怪的腳本文件DbSecuritySpt、selinux。
第一個文件可以看出他就是開機啟動那個異常文件的,第二個應該和登錄有關,具體我還不是很清楚,反正肯定是有問題的。
既然和登錄有關,那就找和ssh相關的,找到了下面的一個文件,是隱藏文件,這個也是木馬文件,我們先記錄下來,這樣程序名字都和我們的服務名字很相近,就是為了迷惑我們,他們的大小都是1.2M,他們有可能是一個文件。
我有看了一下木馬喜歡出現的目錄/tmp,也發現了異常文件,從名字上感覺好像是監控木馬程序的。
- PC官方版
- 安卓官方手機版
- IOS官方手機版
下載 
下載 
下載 
軟件工程導論(第6版)電子圖書
軟件工程導論配套題庫pdf 免費版
web滲透技術及實戰案例解析pdf電子書免費下載
黑客攻防技術寶典web實戰篇第二版高清完整版
mysql高效編程電子書高清版
數據庫原理第5版pdf電子書高清免費版
Android開發從入門到精通掃描版高清免費版
solidworks2012視頻教程詳細版
VBA學習資料(EXCEL+網抓)1.0 中文免費版
產品經理認證(NPDP)知識體系指南pdf 完整免費版
即學即用的WPS表格技巧pdf電子版
pycharm中文指南pdf高清完整版
網絡工程師教程第五版電子版清晰版
Chrome DevTools手冊中文版免費版
python黑魔法指南pdf2.0 完整版
access 2016寶典電子版完整版
思科路由器配置命令詳解及實例pdf 格式可打印版【共46頁】
php開發實例大全基礎卷pdf【帶書簽】高清完整版
thinkphp實戰電子書高清掃描版
優秀主播必備寶典pdf 格式可打印版
中國電信5g承載和架構技術白皮書pdf 完整版
計算機系統基礎pdf高清無水印版
C Primer Plus 第六版pdf高清免費完整版
HTML5+CSS3+JavaScript從入門到精通pdf 中文版
計算機操作系統第四版pdf完整版
xilinx fpga開發實用教程(第2版) pdf格式
ANSYS ICEM CFD從入門到精通pdf格式電子免費版
WEB前端開發全套視頻教程下載(項目實戰+移動端開發)【99G/百度網盤】
java從入門到精通第6版pdf下載高清完整電子
HCNP路由交換學習指南pdf
vue.js權威指南pdf版完整版【高清無水印】
HCIE路由交換學習指南pdf格式