秋霞韩国理论a片在线观看,成年视频网站网,久久精品国产AV久

入侵排查

（1）首先我們要做的就是恢復(fù)一些我們常用的用來排查的工具，比如，ls，ps,netstat,lsof等命令。

/root/chattr -i -a /bin/ps && rm /bin/ps -f #刪除這些可能被感染的命令，比如ps，ls,netstat，lsof，top等�？梢酝ㄟ^ls -lh /bin/ps 查看這些命令的大小和正常程序是否一致

接下來可以找一個相同操作系統(tǒng)的的ps，ls, netstat，lsof命令，將這些命令復(fù)制到被感染的系統(tǒng)中，臨時使用。

（2）其次我們需要對系統(tǒng)做一個全面檢查

a.檢查系統(tǒng)日志

檢查系統(tǒng)錯誤登陸日志，統(tǒng)計IP重試次數(shù)（last命令是查看系統(tǒng)登陸日志，比如系統(tǒng)被reboot或登陸情況）

注：此時last命令也有可能變得不可靠，需要檢查

b.檢查系統(tǒng)用戶

查看是否有異常的系統(tǒng)用戶

[root@bastion-IDC ~]# cat /etc/passwd

查看是否產(chǎn)生了新用戶，UID和GID為0的用戶

[root@bastion-IDC ~]# grep “0” /etc/passwd

查看passwd的修改時間，判斷是否在不知的情況下添加用戶

[root@bastion-IDC ~]# ls -l /etc/passwd

查看是否存在特權(quán)用戶

[root@bastion ~]# awk -F: ‘3==0 {print3==0 {print1}’ /etc/passwd

查看是否存在空口令帳戶

[root@bastion ~]# awk -F: ‘length(2)==0 {print2)==0 {print1}’ /etc/shadow

c.檢查異常進程

top #仔細檢查異常進程pid

ls -l /proc/pid/exe 查看異常進程命令所在地

kill -9 970 #殺掉這個進程之后發(fā)現(xiàn)根本不管用，春風(fēng)吹又生，又從/usr/bin/轉(zhuǎn)移到/bin，再又轉(zhuǎn)移到/tmp.這個時候必須注意倒病毒后臺有監(jiān)控進程，進程死掉了之后，立馬又重新起來一個新的進程。

3、更多異常文件的發(fā)現(xiàn)

（1）查看定時任務(wù)文件crontab -l 并沒有發(fā)現(xiàn)什么一次，查看/etc/crontab發(fā)現(xiàn)異常腳本gcc.sh。

（2）然后查看系統(tǒng)啟動文件rc.local然后進入/etc/init.d目錄查看，發(fā)現(xiàn)比較奇怪的腳本文件DbSecuritySpt、selinux。

第一個文件可以看出他就是開機啟動那個異常文件的，第二個應(yīng)該和登錄有關(guān)，具體我還不是很清楚，反正肯定是有問題的。

既然和登錄有關(guān)，那就找和ssh相關(guān)的，找到了下面的一個文件，是隱藏文件，這個也是木馬文件，我們先記錄下來，這樣程序名字都和我們的服務(wù)名字很相近，就是為了迷惑我們，他們的大小都是1.2M，他們有可能是一個文件。

我有看了一下木馬喜歡出現(xiàn)的目錄/tmp，也發(fā)現(xiàn)了異常文件，從名字上感覺好像是監(jiān)控木馬程序的。

PC官方版

安卓官方手機版

IOS官方手機版

Linux病毒和木馬防護wmv視頻教程

相關(guān)軟件

popu-life(Popu生活)1.0.0 安卓版

Linux防火墻和網(wǎng)絡(luò)安全wmv視頻教程

Linux任務(wù)計劃cron視頻教程

linux網(wǎng)絡(luò)硬盤NFS視頻教程

linux Samba服務(wù)器wmv視頻教程

LED Lights舞臺燈光控制器1.0.3 安卓版

linux FTP服務(wù)器wmv視頻教程

linux HTTP服務(wù)器(Apache)wav視頻教程

Helix Rush游戲1.1 安卓版

linux服務(wù)器基礎(chǔ)知識wmv視頻教程

Linux病毒和木馬防護wmv視頻教程截圖

Linux病毒和木馬防護wmv視頻教程

擴展閱讀

本類最新軟件

本類軟件推薦