本文为苏尚武老师运维安全课程课程笔记
应急工具
- busybox
下载
cd /bin/
wget https://busybox.net/downloads/binaries/1.30.0-i686/busybox
chmod 755 busybox
命令busybox top
- 判断系统后门
检查后门
chkrootkit
rkhunter
查杀:cleamav
webshell查杀
D盾查杀 http://www.d99net.net/News.aps?id=62
- 排查步骤
事件分类:
web入侵:挂马、篡改、webshell
系统侵入:系统异常、rdp爆破、ssh爆破、主机漏洞病毒
木马:远程、后门
勒索软件、信息泄露:脱裤、数据库登录(弱口令)
网络流量:频繁发包、批量请求、DDOS攻击
每一种处理方法不同