整体流程:
一. 识别现象->清除病毒->闭环兜底->系统加固
-
首先从用户场景的主机异常现象出发,先识别出病毒的可疑现象。
(1) 系统CPU是否异常:top
(2) 可疑进程: ps -aux
(3) 通信进程: netstat -antp
(4) 有时安全网关检测到的不全是恶意IP,还有可能是个域名,这种情况下,域名对应的IP是变化的,我们不能直接用上述方法进行监控。我们可以先在host文件中添加一条规则,将恶意域名重定向到一个随机的IP地址,然后对其进行监控。
(5) 历史命令:history
(6) 清除可疑的进程
(7) 定时任务: crontab -l
(8) 可疑的服务: service --status-all
(9) 日志查询: 登录日志 是否含有爆破(SSH)
(10) 查看系统默认的文件是否被修改 chkrootkit
(11) pid所对应的进程文件路径 ls -la /proc/$PID/exe -
然后定位到具体的病毒进程以及病毒文件,进行清除。
-
完成前2步还不够,病毒一般会通过一些自启动项及守护程序进行重复感染,所以我们要执行闭环兜底确保病毒不再被创建。
-
将主机上的病毒项清除干净后,最后就是进行系统加固了,防止病毒从Web再次入侵进来。
二. 其他小知识点
-
php,java,python反序列化具体函数名以及利用技巧
java :OutputStream
InputStream -
sql注入盲注的技巧具体函数(比如延时)
盲注多用于注册用户、修改用户信息
if(条件,0,5)
mid(a,b,c) -
ddos放大攻击,其他常用ddos攻击原理
-
三次握手为社么是三次(不是两次或者四次)
-
python,php危险函数,具体函数名,对象名
system函数、exec函数 eval() -
使用burpsuite 代理app的时候,无法抓到具体的报文的原因
app使用了双向认证或SSL-pinning(证书绑定)
sqlserver: master数据库 1433
810
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
