【干货】linux系统信息收集 ----检测是否被恶意程序执行了危险性命令

最新推荐文章于 2022-07-17 17:59:47 发布
最新推荐文章于 2022-07-17 17:59:47 发布
阅读量256 收藏
点赞数
原文链接:http://www.cnblogs.com/sec875/p/10060697.html
版权

这些实战完全可以练习以下命令,已经找到需要观察的交互点,真实工作的时候,把数据都导入到自己U盘或者工作站内。

在kali 或者centos下训练都一样,关于kali教学,这里推荐掌控安全团队的课程:掌控安全学院/渗透1群 831848455     这里获取官方信息。

笔记整理源于以下部分:        如果您是小白要小心这些笔记的文章,请不要绕过原创。笔记目的是备份与查询而已,心里因明白这个道理,非教学看不明白理所当然。

原创视频有更精彩的内容,比如您将听到各种信息的来源与收集方式,接触到更前沿,更迅速的简洁教学。直面体验到,作为一个黑客真正应该拥有的东西。

Unit 2: Linux/Unix Acquisition 2.1 Linux/Unix Acquistion Acquisition Preparation and System Information Acquisition

Collect information from a live system demo

目标实验机为 ubuntu 系统      

查看系统时间      data

 

查看系统运行了多久     uptime

 

查看系统信息和文件系统    uname -a

 

查看ip地址和网卡工作模式    ifconfig

 

查看正在运行的进程    ps -eaf | more

 

查看TCP和UDP网络连接    netstat -at                  这里的命令给出的是查TCP的,但是UDP也要查,这里不再演示。

 

查看使用IPv4的进程     lsof -i 4

 

 

查看使用PID号的进程打开了哪些文件     lsof -p  2718

 

查看链接数小于1的文件  lsof +L1                lsof +L/-L 打开或关闭文件的链接数          +L1表示 查看小于1的链接数

 

查看当前登录用户信息  w   或  who 或 users  

 

查看命令passwd的位置,它是设置UID的命令    which passwd

 

查看passwd文件    ls -l /usr/bin/passwd     S表示所有人都可以自己给自己修改密码  所以是S不是,执行的X

 

 这个设置UID的命令非常的危险,对应的还有一个设置GID的也是一样。所以,我们务必要查看系统中是否有设置这些的命令程序存在,它们想修改密码。

find / -uid 0 -perm -4000 2>/dev/null   UID是4000  GID是2000      0是root权限    2>/dev/null          2表示错误的  1表示正确的   将错误的信息直接删除,null表示空

 

转载于:https://www.cnblogs.com/sec875/p/10060697.html

avqfei90342
关注
【云原生进阶之容器】第五章容器运行时5.7--容器逃逸原理
junbaozi的专栏
04-11 795
容器逃逸,是指“流氓”容器尝试突破正常隔离环境限制,借助一些手段获得容器所在的直接宿主机、宿主机上的其他容器或集群内其他主机、其他容器的某种权限下的命令执行能力,进行恶意攻击或执行越权访问的行为。容器逃逸漏洞可能打穿容器节点,甚至整个集群。
防御性编程技巧
编程与实战的博客
02-13 702
击上方“C语言与CPP编程”,选择“关注/置顶/星标公众号”干货福利,第一时间送达!在防御性编程的大框架之下,有许多常识性的规则。人们在想到防御性编程的时候,通常都会想到“断言”,这没有错...
linux之查看系统信息
Lucy619_的博客
11-02 612
linux-查看系统信息 定义 内存,cpu,硬盘区别 内存:(英语:Random Access Memory,缩写:RAM;也叫主存)是与CPU直接交换数据的内部存储器,用来加载各式各样的程序与数据以供CPU直接运行与运用,比如当我们在使用WPS时,在键盘上敲入字符时,它就被存入内存中,当你选择存盘时,内存中的数据才会被存入硬(磁)盘。断电后,内存中的信息全部丢失,存储介质是集成块的RAM类型,电子读写,存储容量较小。 cpu:是英语“Central Processing Unit/中央处理器”的缩写,C
linux命令查看系统信息
琼雪染枫华的博客
03-30 337
机器型号 sudo dmidecode | grep -A 9 "System Information" 或sudo dmidecode |grep -A16 "System Information$" 1.CPU: 型号: grep "model name" /proc/cpuinfo |awk -F ':' '{print $NF}' 数量: lscpu |grep "CPU ...
Linux中基于eBPF的恶意利用与检测机制(rootkit、驱动)
墨痕诉清风的博客
03-10 1744
前言 近几年来,云原生领域飞速发展,k8s成为公认的云操作系统。容器的高频率部署、短暂的生命周期、复杂的网络路由,都给内核带来了新的挑战。系统内核在面对复杂性不断增长,性能、可扩展性新需求的同时,还需要保障系统稳定可用,这是极其困难的事情。 eBPF出现,以较小的子系统改动,保障了系统内核的稳定。具备实时动态加载的特性,将业务逻辑加载到内核,实现热更新的动态执行。eBPF技术的出现,衍生新业务场景的同时,也带来了安全威胁。 现状分析 在解决很多技术难题的同时,eBPF技术的出现也带来了新的恶意利用
linux 快速识别可执行文件是否存在恶意行为
weixin_34107739的博客
10-11 122
2019独角兽企业重金招聘Python工程师标准>>> ...
linux 查找恶意脚本,【技术分享】看我如何查找并解码恶意PowerShell脚本
weixin_30641597的博客
04-30 621
预估稿费:200RMB投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿一、前言PowerShell的身影无所不在,我最近也遇到过越来越多的恶意PowerShell脚本。为什么攻击者热衷于使用PowserShell?因为许多Windows版本中都会自带这个工具,并且该工具可以访问WMI以及.Net Framework的全部功能,也能在内存中执行恶意代码以逃避反病毒软件的查杀,对了...
Android系统篇之—-Android中的run-as命令引出升降权限的安全问题(Linux中的setuid和setgid)
尼古拉斯.赵四的博客
02-29 1179
一、前言 最近一周比较忙,没时间写东西了,今天继续开始我们今天的话题:run-as命令,在上周的开发中,遇到一个问题,就是在使用run-as命令的时候出现了一个错误,不过当时因为工作进度的问题,这问题就搁浅没有解决,用了其他一个曲线救国的方式去解决的。那么咋们今天闲来说说Android中的run-as命令吧。 二、遇到的问题&解决问题 Android中我们知道如果设备没有r...
构建大规模分布式服务--高并发、高可用架构系列,高质量原创好文
m0_67322837的博客
04-12 1326
当我们在谈论“服务治理”的时候,都在谈论些什么? 我从业之初接触到的便是一堆基于Webservice、Hessain等实现的跨语言的分布式系统,那是SOA架构和理念十分盛行的时代,我常常听到前辈们在谈论“SOA治理”等高大上的词,但我当时并没有理解何为“治理”,甚至在想:为什么不叫 “管理”呢?在此之前,我仅在小学课本上接触过 “污水治理”这个词。直到近些年互联网企业大规模服务化进程的推进,以Dubbo、Spring Cloud为代表的开源服务框架流行起来,“服务治理”又热门了起来。 那到底何为
渗透测试 2 --- XSS、CSRF、文件上传、文件包含、反序列化漏洞
墨鱼菜鸡
07-11 3288
1、渗透测试 实用 浏览器插件 chrome、edge 插件:搜索 cookie,安装 cookie editor,打开插件,可以 导出 cookie HackBar :Hackbar是网络安全学习者常备的工具 (https://www.fujieace.com/hacker/tools/hackbar.html )。 ​解决Firefox插件-H...
你应该恐慌关于恶意软件发现在Ubuntu中
kairdino的专栏
08-23 759
你应该恐慌关于恶意软件发现在Ubuntu中 有一些恶意软件发现在Ubuntu最近。该恶意软件是可以下载下来一个受欢迎的网站为GNOME主题和插件的屏幕保护程序的一部分。这是否意味着Ubuntu和Linux的现在不安全像其他的操作系统? 首先,看情况。这是从一个网站,任何人都可以上传任何他们想与网友分享。上传是一个Debian软件包,可以在本地系统上运行。为了安装软件包在Ubuntu系统用户必须物理
Centos6.x系统高危 检查项
qq_39051034的博客
06-20 1874
Centos6.x 一、口令策略 1、检查是否设置口令生存周期 理论依据: 攻击者利用网络暴力攻击的机会,通过网络暴力攻击的机会窗口, 受到密码生存周期的限制。因此,减少密码的最大年龄也会减少 攻击者的机会窗口。 配置要求: 建议将PASS_MAX_DAYS参数设置为小于或等于90天。 审计步骤: 检测步骤: 查看文件/etc/login.defs,检查如...
查找恶意进程和文件
supertor的博客
11-22 2936
1、检查CPU内存 指令:top 按大写的“P”键将内容按CPU占用率排序,查看占用率高的进程和PID 2、根据PID找到进程文件位置 (1)ps -ef |grep PID号 ps -aux | grep PID号 (2)利用/proc/PID号 ll /proc/PID号 有一行内容为“exe -> /xxx/xxxx/xxxxx”即为该进程目录 ls -l /proc/PID号/exe...
linux查看恶意进程,在Mac Linux上如何快速判断一个文件是否恶意程序
weixin_28958727的博客
04-29 479
*本文作者:GeekOnline,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。熟悉Mac/Linux的用户经常会使用命令行,如果遇到系统异常,如CPU使用率暴涨等,经常会使用top命令去定位到底是哪个程序出现了异常。找到相关程序后,由于许多用户自身没有安全背景或者不大懂得逆向,便无法去分析程序到底做了什么,不敢枉然kill掉程序。又如果文件夹下面无故多了非自己创建的程序,这时也不敢枉然...
linux查看系统信息命令常见的几个
qq_57477159的博客
07-17 1102
就这几个
linux查看硬件运行状态,Linux查看硬件信息命令
weixin_28748205的博客
04-30 1030
一、查看服务器硬件信息(1)查看服务器型号、序列号[root@Master ~]# dmidecode|grep "System Information"-A9|egrep"Manufacturer|Product|Serial"(2)查看主板型号[root@Master ~]# dmidecode |grep -A16 "SystemInformation$"(3)查看BIOS信息[root@...
linux服务器发异常包,如何排查Linux服务器上的恶意发包行为
weixin_36409144的博客
04-29 751
转载自:http://www.xitongzhijia.net/xtjc/20160106/64918.html某些病毒程序会向Linux服务器恶意发包,极大地占用服务器的带宽,导致服务器的访问速度变慢。作为Linux服务器管理员就要定期对这种恶意发包行为进行排查,具体如何操作呢?一:病毒***排查。1、使用netstat查看网络连接,分析是否有可疑发送行为,如有则停止。在服务器上发现一个大写的C...
Linux查看硬件信息命令大全
请大家直接把问题写在评论区或留言,不要只说一句"你好 或 在吗",我会尽快回复的。
08-01 8248
一、查看服务器硬件信息 (1)查看服务器型号、序列号 [root@Master ~]# dmidecode|grep "System Information" -A9|egrep "Manufacturer|Product|Serial" (2)查看主板型号 [root@Master ~]# dmidecode |grep -A16 "System Information$"...
Linux查看硬件信息命令
weixin_34334744的博客
09-13 1037
一、查看服务器硬件信息 (1)查看服务器型号、序列号 [root@Master ~]# dmidecode|grep "System Information" -A9|egrep "Manufacturer|Product|Serial" (2)查看主板型号[root@Master ~]# dmidecode |grep -A16 "System Information$" ...
交互设计入门:从概念到实践-上篇
交互设计定义为"你来我往"的过程,涉及到用户的输入和系统反馈。这种交互不仅限于人与人的交流,也包括人与物的互动。在设计领域,交互设计和视觉设计虽有交叉,但各有侧重。交互设计注重提升用户体验,使用户能够...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值