linux抓取僵尸网络进程脚本
******往期经典
网络安全:
1、HCIE-Security心得
2、华为交换机抓包上传至PC分析
3、ARP Miss攻击处置
4、ARP网关欺骗攻击处置
5、基于wireshark快速定位内网DHCP Server仿冒攻击
6、wireshark过滤使用及常见网络攻击检测过滤
渗透测试:
1、基于brupsuite的web弱口令扫描
2、渗透测试/应急演练过程中metasploit制作木马连接失败问题排查
3、DVWA搭建中遇到的无法连接数据库问题及处理
企业安全:
1、企业网络信息安全意识宣贯——屏保制作
2、记一次勒索病毒攻击事件的处理过程
3、网络信息安全意识宣贯屏保CSDN.pptx
4、网络信息安全意识宣贯屏保CSDN.scr
安全合规:
1、信息安全技术-网络安全等级保护三级测评要求.xlsx
安全事件处置及应急管理:
1、linux抓取僵尸网络进程脚本
2、windows一键关闭高危端口
3、自动关闭高危端口脚本
4、windows server进程内存占用及CPU使用率自动监控并记录脚本
5、网络信息安全应急演练方案 .docx
6、网络信息安全应急演练报告 .docx
7、飞客蠕虫病毒?分析、定位、处理
主机安全:
1、linux抓取僵尸网络进程脚本
安全运维过程中经常会发现安全设备防火墙或IPS有僵尸网络攻击告警,直接阻断很可能影响业务,很多时候需要到源ip主机上溯源。以下编写shell脚本,记录访问目的ip的进程,根据进程由业务人员查看是否为正常业务,进一步做研判。
#!/bin/bash
read -t 30 -p "请输入僵尸网络IP:" IP_botnet
cmd_results=`netstat -anp | grep "$IP_botnet"`
while [ -z "$cmd_results" ]
do
cmd_results=`netstat -anp | grep "$IP_botnet"`
sleep 2
echo "......"
echo ".............." >> output.txt
done
currTime=$(date +"%Y-%m-%d %T")
echo $currTime >> output.txt
echo $cmd_results >> output.txt
echo ${#cmd_results}
echo "command results are: ${cmd_results##*/}"
echo "${cmd_results##*/}" >> output.txt
echo "捕获结束" >> output.txt
测试
将以上代码复制粘贴保存为:catch_botnet.sh,运行
输入告警中发现的目的ip,这里测试为123.124.125.126,
记录时间、进程(这里为X-www-browser)到output.txt。