【应急响应】————9、命令替换+开机启动项

最新推荐文章于 2024-10-15 09:00:00 发布
转载 最新推荐文章于 2024-10-15 09:00:00 发布 · 534 阅读 · 1

本文详细记录了在服务器上发现并处理异常进程的过程,包括异常进程的发现、开机启动项检查、异常文件定位及网络连接分析,最终通过删除异常内容、重启服务器及替换可疑命令完成修复。

0x01 排查过程

异常进程发现:
/usr/bin/.sshd
[kworker95]

在开机启动中发现:

/tmp下的异常文件

异常的网络连接

使用lsof的时候发现返回内容不正常,查看下lsof

mtime为10:46,并且大小不正常,很明显命令被替换了。
看下/usr/bin/下

/use/sbin下

然后检查了cron、rc3等没有发现异常。

0x02 处理过程

删除rc.local中的异常内容,并重启服务器。

然后从其他机器拷贝lsof和ss替换。

Linux系统应急响应
谢公子的博客
07-01 6262
目录 排查用户相关的信息 排查进程端口相关的信息 查找恶意程序并杀掉 斩草除根 判断入侵方式,修复漏洞 当我们被告知一台Linux服务器被黑客入侵,黑客利用该服务器进行挖矿,并且在该服务器上放置了木马后门。现在我们需要对该服务器做排查,关闭和清除掉挖矿程序以及木马后门,探测出黑客是通过什么方式入侵该服务器的,并且最后要将该漏洞进行修补,以确保服务器的正常运行。 首先,当我们登陆...
Linux应急响应开机启动项
qq_42671480的博客
05-20 2049
Linux应急响应开机启动项篇 一般来说,病毒在启动之后为了防止肉鸡关机重启,很有可能会设置恶意的开机启动项,那么如何针对Linux的开机启动项做全面排查呢?确切来说应该排查哪些文件呢? 1./etc/rc.local /etc/rc.local是/etc/rc.d/rc.local的软连接,该脚本是在系统初始化级别脚本运行之后再执行的,想要/etc/rc.local起作用必须chmod +x ...
一次真实的应急响应案例(Centos)——暴力破解、替换ps命令、留多个后门——事件复现(含靶场环境)
W小哥
03-10 1万+
一、事件背景 某天客户反馈:服务器疑似被入侵,一直反弹shell到恶意IP(恶意IP用192.168.226.131代替)。(真实案例自己搭建环境复现一下,靶场环境放在了 知识星球 和 我的资源 中) 受害服务器: Centos系统、IP: 192.168.184.142、无WEB服务 二、应急响应过程 2.1 排查异常并清除病毒 2.1.1 使用命令 alias 查看是否异常别名 ...
应急响应 - Windows启动项分析,Windows计划任务分析,Windows服务分析
wangyuxiang946的博客
04-15 1万+
一、启动项分析 1、msconfig 2、gpedit.msc 3、注册表 4、msinfo32 5、启动菜单 二、计划任务分析 1、任务计划程序 2、schtasks 三、服务自启动分析
Linux 应急响应流程及实战演练
jihaichen的博客
02-03 9396
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 Linux 服务器入侵排查的思路。 0x01 入侵排查思路 一、账号安全 基本使用: 1、用...
Linux应急响应基础
Canterlot的博客
09-04 867
包含了linux应急响应的基础知识,排查位置与操作方法
应急响应实战笔记——Linux实战篇:④ 盖茨木马
君逍遥o
04-10 993
Linux盖茨木马是一类有着丰富历史,隐藏手法巧妙,网络攻击行为显著的DDoS木马,主要恶意特点是具备了后门程序,DDoS攻击的能力,并且会替换常用的系统文件进行伪装。木马得名于其在变量函数的命名中,大量使用Gates这个单词。分析和清除盖茨木马的过程,可以发现有很多值得去学习和借鉴的地方。
网络安全——应急响应之入侵排查
W981113的博客
02-14 7654
一、windows入侵排查 1.入侵排查思路 1.1 检查系统账号安全 1.查看服务器是否有弱口令、远程管理端口是否对公网开放 (根据实际情况咨询相关服务器管理员) 2.检查服务器是否存在可疑账号、新增账号 (打开cmd窗口,输入lusrmgr.msc命令,查看是否有可疑或者新增的账号,若存在管理员Administrators群组内新增的账户,请立即禁用或者删除) 3.查看服务器注册表是否存在隐藏账号、克隆账号 (打开注册表–regedit.exe或者regedit,查看管理员对应键值) (使用D盾查杀
应急响应 - 入侵排查
最新发布
m0_73983897的博客
10-15 1486
本文的主要内容:webshell 应急处理 + 入侵检测排查 Windows + Linux; ①windows:账号安全 + 异常端口与进程 + 启动项 + 计划任务 + 异常服务 + 检查系统及补丁信息; ②Linux:账号安全 + 常端口和进程排查 + 开机启动项 + 定时任务 + 第三方软件漏洞 + 检查异常文件 + 检查系统日志 + 中间件日志文件
网络安全应急响应(归纳)
热门推荐
只有不断学习才不会被茫茫人海淹没!
06-09 1万+
1、概念 应急响应是指针对已经发生或可能发生的安全事件进行监控、分析、协调、处理、保护资产安全。主要是为了人们对网络安全有所认识、有所准备,以便在遇到突发网络安全事件时做到有序应对、妥善处理。 2、PDCERF(6阶段) a.准备阶段:预防为主,例如扫描、风险分析、打补丁等。简历监控措施、简历数据汇总分析体系、制定能够实现应急响应目标的策略和规程,建立信息沟通渠道,建立能够集合起来处理突发事件的体系。 b.检测阶段:检测事件是已经发生的还是正在进行中的,以及事件产生的原因。确定事件性质和影响的严重程度,以
阿一网络安全学院干货科普篇之应急响应【上】
qq_69775412的博客
06-17 1413
安全人员在遇到突发事件后所采取的措施和行动。发生在计算机系统或网络上威胁安全的事件。如黑客入侵、信息窃取等。信息安全生命周期的必要组成部分,这个生命周期包括:对策、检测和响应。运维人员无法迅速处理安全事件时,需要第三方厂商提供一种能发现并解决问题的有效服务手段。控制影响范围确保业务正常运转、还原攻击场景、找到问题根源、最后追溯攻击源。以最快速度恢复系统的保密性、完整性和可用性,阻止和减小安全事件带来的影响。积极预防、及时发现、快速反应、确保恢复。
PCHunter V1.57(最新版)
08-14
PCHunter最新版,支持Win10(18362/18363)。如果您对windows系统不太熟悉,请不要使用本软件胡乱操作。
linux应急相应脚本,Linux应急响应之工具篇
weixin_34580939的博客
04-30 831
原标题:Linux应急响应之工具篇当企业被攻击者入侵,系统被挂暗链、内容遭到恶意篡改,服务器出现异常链接、卡顿等情况时,需要进行紧急处理,使系统在最短时间内恢复正常。由于应急处理往往时间紧,所以尝试将应急中常见处理方法整合到脚本中,可自动化实现部分应急工作。应急脚本采用python2.0完成,由于所有需要执行的命令都是依靠ssh进行远程链接,所以在运行脚本之前,需要输入正确的主机ip地址、ssh远...
应急响应】Linux应急响应的姿势
Fly_鹏程万里
02-22 1193
0x01 Web服务 一般如果网络边界做好控制,通常对外开放的仅是Web服务,那么需要先找到Webshell,可以通过如下途径: 1)检查最近创建的php、jsp文件和上传目录 例如要查找24小时内被修改的JSP文件: find ./ -mtime 0 -name "*.jsp" 2)使用Webshell查杀工具 Windows下D盾等,Linux下河马等。 3)与测试环境目录做对...
使用命令行进行替换文件
小生一介草民的博客
10-17 3286
replace 比如说你要用d盘下的abc.txt替换E盘及其所有子目录下的abc.txt那就输入: replace D:\abc.txt E:\ /s 至于/s参数,下面有详细说明:/a 将新文件添加到目标目录中而不是替换现存的文件。不能将此命令行选项与 /s 或 /u 命令行选项共同使用。/p 提示您在替换目标文件或添加源文件之前确认。/r 替换只读文件和未受保护的文件。如果没有指定该命令行选...
Servlet技术——request、respone详解
weixin_30666753的博客
08-28 844
Servlet之request、respone详解 Request (一) 概述 request是Servlet.service()方法的一个参数,在客户端发出每个请求时,服务器都会创建一个request对象,并把请求数据封装到request中,然后在调用Servlet.service()方法时传递给service()方法 HttpServletRequest对象代表客户端的请求,当客...
应急响应基础(一)——Windows入侵排查
橘子女侠
09-29 2109
常见的应急响应事件分类: web入侵:网页挂马、主页篡改、webshell; 系统入侵:病毒木马、勒索软件、远控后门; 网络攻击:DDOS攻击、DNS劫持、ARP欺骗; 一、Windows入侵排查思路 (1)检查系统账号安全 1、检查服务器是否有弱口令,远程管理端口是否对公网开放等; 检查方法:根据实际情况咨询相关服务器管理员; 2、查看服务器是否存在可疑账号、新增账号; 检查...
linux应急响应事件所需命令
thatqier
06-28 1096
3天内改动过的文件 find /路径 -mtime -3 -type f -print 找动态脚本并打包 find ./  |grep -E ".asp$|.aspx$|.jsp$|.jspx$|.jspf$|.php$|.php3$|.php4$|.php5$|.inc$|.phtml$|.jar$|.war$|.pl$|.py$|.cer$|.asa$|.cdx$|.ashx$|
Windows系统维护必备多功能工具合集
该工具包内含多个知名的小型专业工具,涵盖硬件检测、系统引导管理、启动项控制、端口监控、密码绕过、分区修复、多系统引导配置等多个关键领域,极大提升了在实际运维过程中处理复杂问题的效率。以下将从标题、描述...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值