本文介绍了在Linux系统中进行入侵分析的步骤,包括检查CPU内存、网络连接、端口开放情况,特别是针对Redis未授权访问的检测。还提到了使用netstat、ps、find、lsof等工具定位进程文件,通过pstree查看子进程,检查自动启动项,并借助外部网站和杀毒软件(如clamav)进行恶意文件鉴定和流量分析。
1.检查CPU内存
top
按大写的“P”键将内容按CPU占用率排序,查看占用率高的进程和PID
2.netstat主机内查看网络连接情况
netstat -anp
netstat –antlp
netstat -anltp | more
netstat -tunpl
netstat -antlp | grep -v -e nginx -e "140.205" -e "192.168.0.3:80 " -e "mem"netstat -ltpe 使用 -ep 选项可以同时查看进程名和用户名。
注意 - 假如你将 -n 和 -e 选项一起使用,User 列的属性就是用户的 ID 号,而不是用户名。
3.netstat查看gateway
netstat -rn
4.在主机外围检测主机端口开放情况
nmap -Pn 1.2.3.4 -p 1-65535
根据开放的端口缩小***途径范围
5.redis 6379端口是否存在未授权访问
(1)公网使用其他机器执行命令"telnet 分析主机IP 6379",若链接成功,存在Redis未授权访问
(2)本机测试redis非授权访问:[root@eapple-nfb ~]# redis-cli
127.0.0.1:6379> keys *
(3)ps -ef | grep 6379 检查Redis是否由root用户启动,如果是,疑似存在Redis未授权访问,建议使用非root用户启动,并设置密码。
(4)Redis注入SSH Key
检查/root/.ssh目录下是否存在authorizedkeys等sshkey文件,若存在且不是用户设置,疑似存在Redis未授权访问
6.根据PID找到进程文件位置
(1)ps -ef |gr
最低0.47元/天 解锁文章
扫一扫
1335
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
