linux抓取僵尸网络进程脚本

最新推荐文章于 2023-04-22 12:44:15 发布
最新推荐文章于 2023-04-22 12:44:15 发布
阅读量3.2k 收藏 1
点赞数 1
分类专栏: 僵尸网络 shell脚本 文章标签: 信息安全 企业安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40111182/article/details/121521146
版权

linux抓取僵尸网络进程脚本

******往期经典
网络安全:
1、HCIE-Security心得
2、华为交换机抓包上传至PC分析
3、ARP Miss攻击处置
4、ARP网关欺骗攻击处置
5、基于wireshark快速定位内网DHCP Server仿冒攻击
6、wireshark过滤使用及常见网络攻击检测过滤
渗透测试:
1、基于brupsuite的web弱口令扫描
2、渗透测试/应急演练过程中metasploit制作木马连接失败问题排查
3、DVWA搭建中遇到的无法连接数据库问题及处理
企业安全:
1、企业网络信息安全意识宣贯——屏保制作
2、记一次勒索病毒攻击事件的处理过程
3、网络信息安全意识宣贯屏保CSDN.pptx
4、网络信息安全意识宣贯屏保CSDN.scr
安全合规:
1、信息安全技术-网络安全等级保护三级测评要求.xlsx
安全事件处置及应急管理:
1、linux抓取僵尸网络进程脚本
2、windows一键关闭高危端口
3、自动关闭高危端口脚本
4、windows server进程内存占用及CPU使用率自动监控并记录脚本
5、网络信息安全应急演练方案 .docx
6、网络信息安全应急演练报告 .docx
7、飞客蠕虫病毒?分析、定位、处理
主机安全:
1、linux抓取僵尸网络进程脚本

安全运维过程中经常会发现安全设备防火墙或IPS有僵尸网络攻击告警,直接阻断很可能影响业务,很多时候需要到源ip主机上溯源。以下编写shell脚本,记录访问目的ip的进程,根据进程由业务人员查看是否为正常业务,进一步做研判。

#!/bin/bash
read -t 30 -p "请输入僵尸网络IP:" IP_botnet
cmd_results=`netstat -anp | grep "$IP_botnet"`
while [ -z "$cmd_results" ]
	do
	cmd_results=`netstat -anp | grep "$IP_botnet"`
	sleep 2
	echo "......"
	echo ".............." >> output.txt
	done
currTime=$(date +"%Y-%m-%d %T")
echo $currTime >> output.txt
echo $cmd_results >> output.txt
echo ${#cmd_results}
echo "command results are: ${cmd_results##*/}"
echo "${cmd_results##*/}" >> output.txt
echo "捕获结束" >> output.txt

测试

在这里插入图片描述将以上代码复制粘贴保存为:catch_botnet.sh,运行
输入告警中发现的目的ip,这里测试为123.124.125.126,
记录时间、进程(这里为X-www-browser)到output.txt。

LION-WHY
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
深信服僵尸网络查杀工具
11-12
深信服僵尸网络查杀工具 深信服僵尸网络查杀工具 深信服僵尸网络查杀工具
Linux抓取网页实例
03-01
Linux抓取网页,简单方法是直接通过curl或wget两种命令。curl和wget命令,目前已经支持Linux和Windows平台,后续将介绍。curl支持http,https,ftp,ftps,scp,telnet等网络协议,详见手册mancurlwget支持http,https,ftp网络协议,详见手册manwgetwget命令安装:sudoapt-getinstallwget(普通用户登录,需输入密码;root账户登录,无需输入密码)curl命令安装:sudoapt-getinstallcurl(同wget)wget下载地址:wgetforWindowscurl下载地址:curlDow
僵尸网络终端进程捕获python脚本(python版本3.7.3)
12-31
下一代防火墙NGAF发现终端有访问僵尸网路的告警,该告警不定时出现,特编写脚本在终端运行,捕获哪个进程访问僵尸网络目的ip。适合读者:网络信息安全运营工程师,网络信息安全事件溯源等
僵尸网络被控端恶意样本分析
weixin_34293902的博客
03-08 501
360安全卫士 · 2016/01/05 18:33Author:王阳东(云安全研究员)@360信息安全部0x00 引子近期, 部署于360云平台(cloud.360.cn)的”360天眼威胁感知系统”发现系统告警某合作伙伴刚开通的云主机存在异常流量,联合排查后发现有恶意攻击者利用redis crackit漏洞入侵服务器并种植了名为unama的恶意程序。 360云安全研究员 --“王阳东”对此恶意...
应急响应和排查
S_cx666的博客
02-08 507
基本概念 网络安全应急响应 指在突发重大网络安全事件后对包括计算机运行在内的业务运行进行维持或恢复的各种技术和管理策略与规程 事件分类 恶意程序事件 计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件、其他有害程序事件 网络攻击事件 拒绝服务器攻击、后门攻击、漏洞攻击、网络扫描窃听、网络钓鱼、干扰事件、其他网络攻击事件 信息破坏事件 信息篡改、信息假冒、信息泄露、信息窃取、信息丢失、其他信息破坏事件 **信息内容安全事件** 违反宪法和
僵尸网络检测和抑制方法
哼哼唧唧
11-04 2968
Botnet是随着自动智能程序的应用而逐渐发展起来的。在早期的IRC聊天网络中,有一些服务是重复出现的,如防止频道被滥用、管理权限、记录频道事件等一系列功能都可以由管理者编写的智能程序所完成。于是在1993 年,在IRC聊天网络中出现了Bot工具——Eggdrop,这是第一个Bot程序,能够帮助用户方便地使用IRC 聊天网络。这种bot的功能是良性的,是出于服务的目的,然而这个设计思路却为黑客所利用,他们编写出了带有恶意的Bot工具,开始对大量的受害主机进行控制,利用他们的资源以达到恶意目标。
Nitol僵尸网络
swordheart的博客
01-20 2159
1、病毒简介 Nitol木马病毒是一种具有侵略性的计算机病毒。Nitol木马病毒执行后,会自我复制到”C:/Windows/System32/”下的一个随机文件名,把它注册为服务,服务名称为”netscvre”。然后将病毒服务的信息写入注册表'HKLM/SYSTEM/CurrentControlSet/Services/'下的键值对中,实现开机自启动。并在每个有”.exe”后缀的路径下释放一个”lpk.dll”的文件,进行DLL注入。病毒可以利用IPC建立连接,入侵用户的主机,向C&C服务器发送.
僵尸扫描
HoYim
04-19 500
一、僵尸扫描介绍 1.僵尸扫描的目的:进行僵尸扫描的目的是在进行扫描的时候利用僵尸主机作为跳板来扫描目标主机,这样目标主机的日志文件中记录的就是僵尸主机的IP地址,这样便可以在网络中隐藏自己的行踪,不被别人发现。 2.僵尸主机的要求:长期闲置并且连接互联网。并且ID值是连续的。 3.僵尸扫描原理概括 1.扫描者向僵尸主机发送SYN/ACK 2.僵尸主机向扫描者发送RST,ipID=X 3.扫描...
Linux僵尸网络,攻击目标90%位于亚洲
weixin_33713503的博客
08-01 404
安全公司Akamai发现了一种Linux僵尸网络XOR DDoS,每天至少瞄准20个网站,近90%的目标站点位于亚洲。 僵尸网络(Botnet)是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控...
基于Linux平台下的僵尸网络病毒《比尔盖茨》
热门推荐
星焱宖
06-11 2万+
文章分析了近来的 比尔盖茨 病毒,这是一种网络僵尸病毒,它的破坏方式很巧妙也很多样,作者的能力有限,希望与大家共同探讨。
DDoS和CC攻击原理(下)
m0_60571990的博客
02-23 81
DDoS和CC攻击原理(下)
20202422 2022-2023-2 《网络与系统攻防技术》实验四实验报告
cdssywgyxx的博客
04-22 506
linux环境,md5sum命令是求文件摘要的命令。识别信息:同样,采用file命令识别文件的一般信息。
kinsing挖矿僵尸网络初始化脚本-注释版
makaisghr的专栏
06-01 1390
#!/bin/sh #Linux ulimit命令用于控制shell程序的资源。连接数设置为最大 ulimit -n 65535 #删除系统日志 rm -rf /var/log/syslog #关闭 /tmp /var/tmp 目录不可更改属性 chattr -iua /tmp/ chattr -iua /var/tmp/ #关闭防火墙 UFW,全称 Uncomplicated Firewall,是通过 iptables 实现的防火墙工具 ufw disable #清空iptables iptables
20202418 2022-2023-2 《网络与系统攻防技术》实验四实验报告
Fish_eggs的博客
04-18 565
大量技术融合交织、技术原理错综复杂
Linux.ProxyM僵尸网络再次发起疯狂攻击,感染过万台设备
运维派
12-12 686
Docker Web的安全专家发现了一个新的IoT僵尸网络,它使用了Linux.ProxyM恶意软件,正试图攻击网站。 Linux.ProxyM是一款Linux恶意软件,它在受感染的设备上通过SOCKS代理服务器创建一个代理网络,用于转发恶意流量,掩盖其真实来源。 根据Dr. Web的说法,Linux.ProxyM最初于今年2月被发现,在5月下旬其活动达到顶峰,到7月份感染Linux.ProxyM
僵尸网络瞄准Linux服务器
w3cschools的博客
11-25 204
根据网络安全研究人员的一项新分析,该木马伪装成HTTPd,这是Linux服务器上的常用程序,它是该恶意软件的新版本,被跟踪为Stantinko。 早在2017年,ESET研究人员就详细介绍了一个庞大的广告软件僵尸网络,该僵尸网络通过诱骗寻找盗版软件的用户下载伪装为torrent的恶意可执行文件来安装执行广告注入和点击欺诈的恶意浏览器扩展程序。 自那时以来,黑客秘密行动控制着一支拥有500万机器人的庞大队伍,此后以加密采矿模块的形式进行了重大升级,旨在从受其控制的计算机中获利。 尽管Stantink
Linux僵尸网络最新变种现身:Docker服务器惨遭殃及
systemino的博客
06-30 492
研究人员近期发现了2个攻击Docker服务器的Linux僵尸网络的变种,分别是XORDDoS 恶意软件和Kaiji DDoS恶意软件。将Docker 服务器作为目标是XORDDoS和 Kaiji恶意软件的新变化,之前这两款恶意软件的目标是云系统中的Linux 主机。最近Kaiji首次被曝影响物联网设备。攻击者常常使用僵尸网络在扫描了SSH 和Telnet端口后执行暴力破解攻击。这两款恶意软件也搜索了暴露2375 端口的Docker服务器。2375端口是Docker API使用的一个端口,用于非加密或非认证的
发现僵尸网络的常用方法
与狼共舞 的专栏
12-07 2966
般而言,个人用户侧重发现本机上的僵尸程序,计算机安全应急组织侧重发现活跃的僵尸网络。 对于使用Windows操作系统的个人用户来说,发现僵尸程序(Bot)的难度取决于该程序的隐蔽程度。Bot平时潜伏在被控主机上,等待控制者发来的命令,此时,Bot的网络活动只限于与服务器之间的PING/PONG命令,引起的流量和网络连接很少。而且,Bot未必使用IRC协议常用的TCP 6667端口,所以很难察觉。但
shell脚本抓取僵尸进程
最新发布
08-29
你可以使用以下的 shell 脚本抓取僵尸进程: ```shell #!/bin/bash # 获取所有僵尸进程的 PID zombie_pids=$(ps aux | awk '{if ($8=="Z") print $2}') # 循环遍历每个僵尸进程 for pid in $zombie_pids; do # 获取僵尸进程的父进程 PID parent_pid=$(ps -o ppid= -p $pid) # 获取父进程的命令行信息 cmd=$(ps -o cmd= -p $parent_pid) # 打印僵尸进程与其父进程的信息 echo "Zombie PID: $pid" echo "Parent PID: $parent_pid" echo "Parent Command: $cmd" echo "---------------------" done ``` 这个脚本首先使用 `ps` 命令和 `awk` 过滤出所有状态为僵尸进程的 PID。然后,它循环遍历每个僵尸进程,获取其父进程的 PID 和命令行信息,并将结果打印出来。 你可以将上述代码保存为一个名为 `zombie_process.sh` 的文件,并在终端中运行 `bash zombie_process.sh` 来执行脚本。请注意,你需要有足够的权限来执行这个脚本。 希望这可以帮助到你!如有其他问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

LION-WHY

嘿,留下一分钱,谢啦

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值