Linux应急响应-捕捉短连接

​日常应急响应中,会发现如下情况:登录服务器查看端口、进程,并未发现发现服务器异常,但是当多次刷新端口连接时,可以查看该连接。 有时候一直刷这条命令好十几次才会出现,像这种的短连接极难捕捉到对应的进程和源文件。
脚本文件如下:

#!/bin/bash
ip=1.1.1.1
i=1
while :
do
   tmp=`netstat -anplt|grep $ip|awk -F '[/]' '{print $1}'|awk '{print $7}'`
   #echo $tmp
   if test -z "$tmp"
   then
​       ((i=i+1)) 
   else
​       for pid in $tmp; do
​           echo "PID: "${pid}
​          result=`ls -lh /proc/$pid|grep exe`
​          echo "Process: "${result}
​          kill -9 $pid
​       done
​       break
   fi 
done
echo "Total number of times: "${i}
点赞

发表评论

电子邮件地址不会被公开。必填项已用 * 标注