读《Linux应急响应》笔记(未完待续)

最新推荐文章于 2022-12-16 11:26:07 发布
最新推荐文章于 2022-12-16 11:26:07 发布
阅读量1k 收藏 2
点赞数
分类专栏: Web安全 文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43710889/article/details/121745777
版权

今天就想听着音乐,看看书。找到压箱底的《linux应急响应》看一看。还是蛮新的,是2021.7.1的新版。

在这里插入图片描述

文章目录

思维导图

在这里插入图片描述

挖矿事件

恶意域名

从内⽹dns服务器、 dns防⽕墙、流量审计设备等设备获取
根据域名确定⽊⻢类型

  • Virustotal
  • 深信服威胁情报中⼼
  • 微步在线
  • venuseye
  • 安恒威胁情报中⼼
  • 360威胁情报中⼼
  • 绿盟威胁情报中⼼
  • AlienVault
  • RedQueen安全智能服务平台
  • IBM X-Force Exchange
  • ThreatMiner

获取异常进程PID

  • CPU占用层面
    • top -c -o %CPU
    • ps -eo pid,ppid,%mem,%cpu,cmd --sort=-%cpu | head -n 5
      • cpu占⽤前5的进程信息

效果图:
在这里插入图片描述
在这里插入图片描述

参数解读:
top:
		-c  :Command-line/Program-name toggle  (toggle 切换)
		-o  :Override-sort-field as:  -o fieldname
		%CPU  --  CPU Usage
ps:
		-e     Select all processes.  Identical
最低0.47元/天 解锁文章
南岸青栀*
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
(渗透测试后期)Linux进程隐藏详解
qq_42882717的博客
03-27 1万+
文章目录(渗透测试后期)Linux进程隐藏详解前言Linux进程基础Linux进程侦查手段Linux进程隐藏手段一、基于用户态的进程隐藏方法1:小隐隐于/proc/pid——劫持readdir系统调用额外:加载至arm方法2:小隐隐于/proc/pid——mount 挂载二、基于内核态的进程隐藏方法3:大隐隐于内核——修改内核源码+系统调用方法4:大隐隐于内核——修改内核源码proc_pid_lookup方法5:大隐隐于内核——编写驱动/内核模块——LKM实现进程隐藏总结 (渗透测试后期)Linux进程隐藏
应急响应实战笔记+linux、windows加固手册(建议收藏@@@)
08-07
应急响应实战笔记+linux、windows加固手册,详细讲述了linux、windows加固方法和应急响应流程,值得收藏
应急响应】2020应急响应基础-Windows、Linux合集
qq_34965596的博客
07-02 2176
文章目录0x00 应急响应介绍常见的应急响应事件分类入侵排查思路0x01 Windows - 应急响应处置过程1.1 检查系统账号安全1.1.1 检查服务器是否有弱口令1.1.2 检查远程管理端口是否对公网开放1.1.3 查看服务器是否存在可疑账号、新增账号1.1.4 查看服务器是否存在隐藏账号、克隆账号1.2 检查异常端口、进程1.2.1 检查端口连接情况,是否有远程连接、可疑连接1.2.2 检查进程1.3 计划任务1.3.1 任务计划程序1.3.2 自启动1.3.3 组策略1.4 查看可疑目录及文件1.
应急响应-windows/Linux主机加固
lza20001103的博客
12-16 2154
应急响应-windows/Linux主机加固
视频教程-xss漏洞安全编码系列详解-防护加固
weixin_30919007的博客
05-28 224
xss漏洞安全编码系列详解 曾在启明星辰、绿盟科技等大型企业安全公司就职,对...
Linux应急响应
小小猪的博客
11-01 701
Linux应急响应 入侵排查流程 账号安全 基本使用 /etc/passwd 用户信息文件 对应关系: 用户名:密码:用户ID:组ID:用户说明:家目录:登陆之后shell 注:无密码只允许本机登陆,远程不允许登陆 /etc/shadow 影子文件 对应关系: 用户名:加密密码:密码最后一次修改日期:两次密码的修改时间间隔:密码有效期:密码修改到期到的警告天数:密码过期之后的宽限天数:账号失效时间:保留 who 查看当前登录用户 注:tty本地登陆、pts远
应急响应实战笔记.rar
02-14
应急响应实战笔记,包含入侵排查篇:Windows 入侵排查、Linux 入侵排查、常见的 Webshell 查杀工具、如何发现隐藏的 Webshell 后门、勒索病毒自救指南;日志分析篇:Windows日志分析、Linux日志分析、Web日志分析、...
应急响应工具集及应急响应实战笔记.zip
08-04
网络安全应急响应工具集及应急响应实战笔记 辅助工具集 进程分析工具集 练手样本集 流量分析工具集 启动项分析工具集 信息收集工具集 专杀工具集 Webshell查杀集 第01章:入侵排查篇 第02章:日志分析篇 第03章:...
应急响应实战笔记_2020最新版.pdf
06-24
整体目录结构共六章,分为技巧篇和实战篇。第1~3章为技巧篇,分别对应入侵排查、日志分析和权限维持,第4~6章为实战篇,包含了Windows/Linux各种病毒木马,web入侵事件溯源处理过程。
自用的应急响应工具和完整笔记
最新发布
03-22
这次分享的是自用的应急响应工具和完整笔记,如图所示,包括入侵到提权到维持与排查... 都有对应的应急工具安装包,对新手友好!希望大家喜欢~
通过服务名称查询端口号、pid、进程号
DemoTransfer
09-24 2768
1、通过服务名称查询pid:systemctl status 服务名称 命令 Main PID: 28686 (java) 其中28686即为服务对应进程PID数值. 2、通过pid查询端口号:netstat -ltnp | grep 28686 ...
linux进程隐藏 hook readdir函数 挂载覆盖/proc/pid 目录
whatday的专栏
10-24 1259
前言 上篇介绍了如何在有源码的情况下,通过 argv[] 及 prctl 对进程名及参数进行修改,整篇围绕/proc/pid/目录和 ps、top 命令进行分析,做到了初步隐藏,即修改了/proc/pid/stat、/proc/pid/status、/proc/pid/cmdline 这些文件的信息,使得 ps、top 命令显示了虚假的进程信息;但是还存在一些**缺点**: 1.ps、top 命令还是显示了真实的 pid 2./proc/pid目录依然存在,/proc/pid/exe 及/pr...
【应急基础】————3、mount-bind隐藏端口和进程
Fly_鹏程万里
02-22 1053
创建文件夹 挂不上,一想是因为前几天测试sudo提权的时候把selinux打开了 然后再看一下,ps和netstat看不到了。 大小变成了4096 修复: 检查mount: 1)/proc/mounts 2)/proc/$$/mountinfo [root@server120 tmp]# cat /proc/$$/mountinfo | grep 353...
查看进程的线程数命令
热门推荐
believe的专栏
03-03 1万+
检查 使用 ps -fe |grep programname 查看获得进程的pid,再使用 ps -Lf pid 查看对应进程下的线程数. 查找资料发现可以通过设置 ulimit -s 来增加每进程线程数。 每进程可用线程数 = VIRT上限/stack size   32位x86系统默认的VIRT上限是3G(内存分配的3G+1G方式),64位x86系统默认的VIRT上限是64G 用
ZZ Linux最大线程数限制及当前线程数查询
weixin_30673715的博客
06-25 359
Linux最大线程数限制及当前线程数查询 [日期:2015-01-04] 来源:Linux社区 作者:zhangming [字体:大 中 小] Linux最大线程数限制及当前线程数查询 1、总结系统限制有: /proc/sys/kernel/pid_max #查系统支持的最大线程数,一般会很大,相当于理论值 /proc/sys/kernel/t...
linux中查看线程数的三种方法
legendmaker的专栏
08-29 8980
linux中查看线程数的三种方法 最大线程数:cat /proc/sys/kernel/threads-max 1、top -H 手册中说:-H : Threads toggle 加上这个选项启动top,top一行显示一个线程。否则,它一行显示一个进程。   2、ps xH 手册中说:H Show threads as if they were processes 这样可以查
linux 查看进程和线程,Linux下查看进程和线程的方法
weixin_32367173的博客
04-29 890
Linux中查看线程数的三种方法1、top -H手册中说:-H : Threads toggle加上这个选项启动top,top一行显示一个线程。否则,它一行显示一个进程。2、ps xH手册中说:H Show threads as if they were processes这样可以查看所有存在的线程。3、ps -mp 手册中说:m Show threads after processes这样可以...
docker深入2-容器删除操作失败
weixin_34080571的博客
08-23 563
docker深入2-容器删除操作失败2017/9/261、报错 Errorresponsefromdaemon:driver"overlay"failedtoremoverootfilesystemforxxx:remove/var/lib/docker/overlay/xxx/merged:deviceorresourcebusy 原因...
Linux应急响应手册
Master'Blog
01-22 3322
来源:http://secscorpio.top/index.php/%E5%AE%89%E5%85%A8%E4%BD%93%E7%B3%BB%E5%BB%BA%E8%AE%BE/82.html 一个企业的信息安全建设,最基本的无非是要做好三件事:第一件是事前的安全基线,从源头尽可能保证新上线的系统的安全性;第二件是建立事中的监控能力,各种多维度的入侵检测,做到有针对性、及时的救火;第三件是
LINUX与UNIX SHELL编程指南》笔记解析
"LINUX与UNIX SHELL编程指南笔记" 这篇笔记主要围绕《LINUX与UNIX SHELL编程指南》这本书展开,作者张启峰分享了他的学习心得和深入理解。这本书对初学者来说是一份很好的入门教程,详细介绍了LINUX和UNIX...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

南岸青栀*

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值