1、确定主机
2、进行内外网隔离
3、最后登录情况查看last
3、登录进行异常进程查看
ps#排查进程
ps -aux|grep xxx#筛选异常进程
可以查看到进程的操作
4、排查入侵点
web排查是否有文件上传
其他服务排查(开放到公网的端口)
异常进程的存放地址排查,获取上传的方式(nginx目录是web上传,其他服务可以是任意地址)
5、排查入口服务漏洞
通过服务的版本,以及存在的rce等漏洞
通过相应服务日志进行利用工具的发现
创建一次性任务atd
at now +2min#两分钟后执行
useradd uuu#创建一个用户uuu
Ctrl+D#结束编辑
atq#查询任务
~/.ssh/authorized_keys#公钥查看
周期性计划
vim /root/1.sh#创建一个系统文件
chmod +x /root/1.sh#添加执行权限
crontab -e#创建任务
crontab -l#查询计划
crontab -r#删除计划
cd /etc/cron#接着tab键,确定下这些目录下的任务。
二、命令
ip a#查看网口
netstat -antp#查看网络连接情况
ps aux#查看异常进程
kill -9 50231#删除进程
cd /var/log#log地址
查看用户登录情况的日志可以过滤Success
cat sshd
cat auth.log
cat auth.log|grep Success
netstat -anltp#查看是否有占用的ip
ps -ef|grep python#查看当前进程
包含的信息比较丰富
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
