监控与目标IP通信的进程:

我们可以先在host文件中添加一条规则,将恶意域名重定向到一个随机的IP地址,然后对其进行监控

while true; do netstat -antup | grep [ip]; done

清除可疑进程的进程链:

ps -elf | grep [pid] kill -9 [pid]

定位病毒进程对应的文件路径:

ls -al /proc/[pid]/exe rm -f [exe_path]

检查是否存在可疑定时任务

枚举定时任务:

crontab -l

查看anacron异步定时任务:

cat /etc/anacrontab

枚举主机所有服务,查看是否有恶意服务:

service --status-all

检查系统文件是否被劫持

枚举系统文件夹的文件,按修改事件排序查看7天内被修改过的文件:

find /usr/bin/ /usr/sbin/ /bin/ /usr/local/bin/ -type f -mtime +7 | xargs ls -la

检查是否存在病毒守护进程

监控守护进程的行为:

lsof -p [pid]
strace-tt -T -etrace=all-p$pid

查询log主机登陆日志:

grep "Accepted " /var/log/secure* | awk '{print $1,$2,$3,$9,$11}'

定位有爆破的源IP:

grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c

爆破日志的用户名密码:

grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr

后续慢慢补充……

说点什么
支持Markdown语法
好耶,沙发还空着ヾ(≧▽≦*)o
Loading...