进程排查
linux中使用netstat和一些系统命令进行服务排查
netstat的常用参数有
- -a, --all: 显示所有连接和监听端口,包括已建立的连接、监听状态和等待状态的连接。
- -t, --tcp: 仅显示 TCP 协议相关的连接信息。
- -u, --udp: 仅显示 UDP 协议相关的连接信息。
- -n, --numeric: 以数字形式显示地址和端口号,而不进行域名解析。
- -p, --programs: 显示与连接相关的进程信息,包括进程的 PID 和名称。
- -r, --route: 显示路由表信息。
- -e, --extend: 显示详细的连接信息,包括用户和计时器信息。
- -c, --continuous: 持续显示网络状态信息,每隔一段时间更新一次。
- -s, --statistics: 显示网络统计信息,如各种协议的统计数据。
- -W, --wide: 使用更宽的输出格式,以便适应较长的地址和端口号。
- -l, --listening: 仅显示监听状态的套接字连接。
使用netstat -antlp
显示系统中所有正在监听的TCP端口
如果发现有进程存在恶意外链的情况,可以通过ls -alt /proc/PID
来查看对应的可执行程序
也可以使用lsof -P PID
来查看进程所打开文件
如果是恶意进程,可以通过kill -9 PID
结束进程
然后使用rm -rf filename
删除木马
有时攻击者会将进程隐藏,按照顺序执行
ps -ef | sort -n | uniq > 1
ls /proc | sort -n | uniq > 2
diff 1 2
来查看隐藏进程
<
:表示只在文件1
中存在的行。>
:表示只在文件2
中存在的行。---
:表示文件1
和文件2
中都存在的行,但它们在内容上有所不同。1,283c1,345
:表示第一个文件的第 1 行到第 284 行与第二个文件的第 1 行到第 345 行之间存在差异。
使用top
命令查找资源占用率较高的进程,定位排查挖矿病毒
服务排查
命令行输入systemctl list-unit-files --type=service
命令,可以列出所有服务单元文件及其状态