经验分享:排查主机排查是否入侵

最新推荐文章于 2024-05-22 08:58:03 发布
最新推荐文章于 2024-05-22 08:58:03 发布
阅读量788 收藏 1
点赞数
文章标签: 网络 huawei 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CCIE21820/article/details/127016129
版权

背景信息:这段时间集团护网,个人结合自己的工作经历,整理了几种常见的机器被黑后排查情况供参考,以下情况是在kali2022的系统中查看的,其它Linux发行版类似。

查看日志信息是否还存在或者是否被清空

ll -h /var/log/*

查看/etc/passwd及/etc/shadow文件是否存在创建一个新的存放用户名及密码文件

ll /etc/passwd
ll /etc/shadow

查看/etc/passwd及/etc/shadow文件是否存在修改用户名及密码文件

more /etc/passwd
more /etc/shadow

查看机器最近成功登陆的事件和最后一次不成功的登陆事

对应日志“/var/log/lastlog”

lastlog

查看机器当前登录的全部用户

对应日志文件“/var/run/utmp”

Who

查看机器所有用户的连接时间(小时),对应日志文件“/var/log/wtmp”

ac -dp

查看/var/log/secure日志文件尝试发现入侵者的信息

查询异常进程所对应的执行脚本文件

top命令查看异常进程对应的PID,在虚拟文件系统目录查找该进程的可执行文件

另外,今天小老虎在B站给大家上传了一套我们闫辉老师的授课视频,包含了,NA至IE阶段的内容,有需要的小伙伴也可移步B站学习~

6IE闫辉教你考HCIE
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
十一 个步骤完美排查服务器是否入侵
huaxin_idc的博客
07-26 851
当系统中的某个文件被意外地删除了,只要这个时候系统中还有进程正在访问该文件,那么我们就可以通过lsof从/proc目录下恢复该文件的内容。
Linux入侵排查.docx
05-07
Linux 入侵排查 Linux 入侵排查是指在 Linux 系统中检测和处理黑客入侵、系统崩溃或其他影响业务正常运行的安全事件的过程。快速响应和处理这些事件对于保护企业的网络信息系统和减少经济损失至关重要。 0x00 前言...
Linux系统cpu,内存高负载排查-云主机-产品文档-帮助文档-京东云.pdf
09-13
Linux系统cpu,内存高负载排查-云主机-产品文档-帮助文档-京东云
史上最全网络安全面试题+答案
热门推荐
2301_77285187的博客
05-30 1万+
文件包含漏洞是一种导致服务器上的文件被非法访问的安全漏洞,这种漏洞通常是由不当的 Web 编程实现引起的,允许攻击者从外部文件中读取服务器上的数据。要防止跨站请求伪造攻击,可以采取一些防御措施,比如在每个JSON请求中添加一个CSRF令牌,在每个请求头中添加一个Referer头来确认请求发起者的网站,在JSON客户端中添加一个安全令牌,启用HTTPOnly来防止JSON反序列化注入,编写坚固的代码来限制JSON请求的数量,以及启用内网环境的安全控制等。此时,每个路由器都会尝试同步它们的LSDB。
linux查看是否入侵(一)
最新发布
beck_li的博客
05-22 728
1、 查看当前系统状态 2、 查看当前登录用户(w\who) 3、 检查系统日志 2 4、 查看近期用户登录情况 2 5、 检查系统用户 2 5.1 查看是否有异常的系统用户 2 5.2查看是否产生了UID和GID为0的新用户 2 5.3查看passwd的修改时间 2 5.4查看是否存在特权用户 5.5查看是否存在空口令帐户 6、 检查异常进程 2 6.1 查看非root运行的进程 2 6.2 查看root运行的进程 2 6.3注意UID为0的进程,查看该进程所打开的端口和文件 3
服务器被入侵怎么查找入侵痕迹,该如何保护主机安全?
dexunyun的博客
12-05 617
7、部署安全防护系统。比如德迅卫士这种,专门的主机安全软件,具备实时威胁检测能力,能够即时监测和识别针对主机的各种威胁,监测主机上的异常行为和入侵尝试,可实时发现入侵事件,提供快速防御和响应能力。通过服务器日志检查管理员账号的登录是否存在恶意登录的情况,检查登录的时间,检查登录的账号名称,检查登录的IP,看访问日志可以看680.682状态的日志,逐一排查。5、对服务器操作系统打上最新的补丁,合理的配置和安装常用的应用软件(比如防火墙、杀毒软件、数据库等),并将服务器的软件更新为安全、稳定、兼容性好的版本。
电脑不稳定? 可能系统已被病毒渗透:怎样判断是否遭受入侵
weixin_43263566的博客
01-12 6626
如何检查自己电脑是否被攻击了?
【应急响应】Linux入侵排查思路
09-18
【应急响应】Linux入侵排查思路: 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程...
linux入侵排查(操作截图).docx
07-10
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为...
Linux操作系统安全及入侵排查
09-30
课程还介绍了针对系统入侵的应急排查步骤和要求,主要涉及的排查内容包括:检查系统日志及命令记录 、检查账户、检查文件、检查系统启动项和计划任务、检查进程和网络连接、检查是否存留后门等恶意程序,根据上述...
windows入侵排查(操作截图).doc
07-10
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为...
Linux排查服务器是否已经被入侵
李凯的博客
05-11 1683
入侵者可能会删除机器的日志信息 可以查看日志信息是否还存在或者是否被清空,相关命令示例: [root@centos8 ~]# ls -h /var/log/* /var/log/boot.log /var/log/dnf.librepo.log-20210502 /var/log/hawkey.log-20210502 /var/log/boot.log-20200828 /var/log/dnf.librepo.log-20210509 /var/lo
应急响应之Windows主机入侵排查
莫黎小天
08-14 1205
应急响应之Windows主机入侵排查
2022-渗透测试-OWASP TOP10详细讲解
保持微笑的博客
01-26 1万+
1.sql注入 原理: SQL 注入就是指 web 应用程序对用户输入的数据合法性没有过滤或者是判断,前端传入的参数是攻击者可以控制,并且参数带入数据库的查询,攻击者可以通过构造恶意的 sql 语句来实现对数据库的任意操作。 ​ 分类: 1、报错注入 2、bool 型注入 3、延时注入 4、宽字节注入 ​ 防御: 1.使用预编译语句,绑定变量 2.使用存储过程 3.使用安全函数 4.检查数据类型 ​ 1.获取数据库名 select SCHEMA_NAME from information_schema
[安全]在Windows日志里发现入侵痕迹(转载)
V1040375575的博客
12-14 4645
转载文章来源:Bypass 有小伙伴问:Windows系统日志分析大多都只是对恶意登录事件进行分析的案例,可以通过系统日志找到其他入侵痕迹吗? 答案肯定是可以的,当攻击者获取webshell后,会通过各种方式来执行系统命令。所有的web攻击行为会存留在web访问日志里,而执行操作系统命令的行为也会存在在系统日志。 不同的攻击场景会留下不一样的系统日志痕迹,不同的Event ID代表了不同的意义,需要重点关注一些事件ID,来分析攻击者在系统中留下的攻击痕迹。 我们通过一个攻击案例来进行windows日志分析,
查找linux入侵证据的简单几个小技巧
主题模板站的博客
02-02 747
5.通过时间来查找,find / -ctime n n为指定的时间,可通过上述找到的信息,综合判断,然后选取时间点,查找在那个时间点创建的文件。4.几个经常被放置木马,病毒的目录,/tmp, /var/tmp, /dev/shm由于这些目录都设置了SBIT,即所有用户都可读,可写,可执行。3.用户任务计划,文件/var/spool/cron/tabs/用户,某些黑客会将后门程序,病毒设置为计划任务,定时执行。1.last,lastlog命令可查看最近登录的帐户及时间。
Windows主机入侵痕迹排查办法
weixin_45727359的博客
01-11 1425
内容来源:FreeBuf一、排查思路在攻防演练保障期间,一线工程师在实施主机入侵痕迹排查服务时可能面临时间紧、任务急、需要排查主机数量众多情况。为了确保实施人员在有限的时间范围内,可以...
利用IIS日志追查网站入侵
蓝法典的专栏
04-10 1353
作者:HaK_BaN[B.C.T] 网站:http://www.cnbct.org原件下载地址:http://www.cnbct.org/IISLOG.doc [已刊登黑客X档案] 以前黑站黑了很多,但是就没有想过会不会被追踪到,都没有想过怎么去擦自己的屁股,万万没想到在自己不再黑站的时候,却发现了自己的BBS被黑了。根据当初的判断,BBS程序是我们BCT小组成员编写的Lvbbs不会存在着上传漏洞
Linux应急响应流程及实战演练.docx
03-06
Linux 应急响应流程及实战演练 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 Linux 服务器入侵排查的思路。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值