应急响应

已于 2024-02-26 19:28:20 修改
阅读量536 收藏 13
点赞数 12
文章标签: 网络 php 服务器
于 2024-02-26 19:27:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45711054/article/details/136306859
版权
本文详细介绍了在Linux系统中进行应急响应时常用的技术手段,包括通过`kill`和`rm`操作处理进程,使用`top`和`crontab`分析性能及任务,`netstat`监控网络连接,以及`tcpdump`抓包和`ps`,`lsof`定位程序目录的方法。
摘要由CSDN通过智能技术生成

应急响应

主要手法:

Top 找进程
kill -i PID 删除进程
rm -rf    删除文件

1、针对当前性能分析:

top
busybox top #当看不到具体进程时

2、计划任务:

# 查看启动任务:crontab -u root
#全局配置文件如下:
/etc/crontab
/var/spool/cron/root
/var/spool/cron/crontabs/root

/etc/cron.d/
/etc/cron.daily
/etc/cron.weekly
/etc/cron.hourly
/etc/cron.monthly

3、网络连接:

netstat -anltp
busybox netstat -anltp  #当看不到具体PID时

4、tcpdump抓包:

(1)抓取所有的经过eth0网卡的网络包,并存到 result.cap 文件中。
    tcpdump -i eth0 -w result.cap
(2)抓取源地址是192.168.1.100的包,并将结果保存到 result.cap 文件中。
    tcpdump src host 192.168.1.100 -w result.cap
(3)抓取地址包含是192.168.1.100的包,并将结果保存到 result.cap 文件中。
    tcpdump host 192.168.1.100 -w result.cap
(4)抓取目的地址包含是192.168.1.100的包,并将结果保存到 result.cap 文件中。
    tcpdump dest host 192.168.1.100 -w result.cap
(5)抓取源端口是22的数据包
    tcpdump -i eth0 -vnn src port 22
(6)抓取目的端口是22的数据包
    tcpdump -i eth0 -vnn dst port 22

5、根据PID定位程序目录

ps -aux


6、定位程序目录
6.1 首先找到项目的进程号 ps aux |grep python,然后进入/proc/进程号查看即可
6.2 首先通过top命令找到对应的PID

之后使用lsof -i PID 查找目录

夜雨清城丶
关注
  • 12
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux &Windows应急响应手册.pdf
12-08
Linux &Windows应急响应手册.pdf
Linux应急响应排查
热门推荐
weixin_43526443的博客
01-29 7万+
上一篇文章说到Windows的应急响应排查,本篇文章就来说说Linux的应急响应排查。 首先,前期交互这部分的内容还是不能少的,毕竟掌握的信息越多,排查的思路就越清晰。 Part1 熟悉主机环境 uname -a cat /proc/version lsb_release -a 首先,先对排查主机的基本信息有一个了解。 Part2 运行进程排查 首先熟悉一下ps命令的参数: ps [选项] -e 显示所有进程。 ...
Windows应急响应
weixin_43526443的博客
01-28 7万+
临近冬奥、残奥,发一篇Windows的应急响应,希望对大家有所帮助,下一篇会发Linux的应急响应
Linunx应急响应
woshicainiao666的博客
05-12 387
【代码】Linunx应急响应
应急响应常用命令
2301_76786857的博客
12-21 1750
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。
应急响应工具集及应急响应实战笔记.zip
08-04
网络安全应急响应工具集及应急响应实战笔记 辅助工具集 进程分析工具集 练手样本集 流量分析工具集 启动项分析工具集 信息收集工具集 专杀工具集 Webshell查杀集 第01章:入侵排查篇 第02章:日志分析篇 第03章:...
网络安全应急响应实践合集.zip
09-03
网络安全应急响应实践合集,共32份。 2019年全球互联网安全态势报告; 2020年网络安全应急响应分析报告; 安全服务与应急响应; 安全事件管理自动化之路; 从检测到响应-机器学习的应用演变; 从应急响应看医疗卫生...
一次真实的应急响应案例(Windows2008)—暴力破解、留隐藏账户与shift粘贴键后门、植入WK程序-应急响应靶场
04-06
一次真实的应急响应案例(Windows2008)—暴力破解、留隐藏账户、shift粘贴键后门、植入wakuang程序——对应的应急响应靶场,应急响应教程参考链接:...
网络安全应急响应 (2).pdf
06-26
网络安全应急响应是针对计算机网络系统中发生的各类安全事件所采取的预防和应对策略。这一领域主要关注信息的保密性、完整性和可用性,同时也涵盖了更广泛的威胁,如扫描、抵赖、垃圾邮件、非法内容传播以及欺诈行为...
UDP协议
hyldzbg的博客
09-04 874
把当前要计算校验和的数据,每个字节,都进行累加,把结果保存到这两个字节的变量(校验和)中,过程中溢出也没关系,如果中间某个数据,出现传输错误,第二次计算的校验和就会和第一次不同(CRC这个算法其实不是特别靠谱,比如如果前一个字节大小少1,后一个字节大小多1,那么最后得到的校验和任然相同,但是数据可能已经不同了)。描绘这个数据报的报文长度(包含报头),这里的长度是指该报文有多少个字节,因为只有16位比特位的大小,因为数据传输可能会出错,所以需要一定的方法知道所传输的数据是否正确传输。
网络第五章:多路转接
qincjun的博客
09-05 579
2.HTTP1.1采用了长连接的方式来进行通信:建立连接,服务器响应完之后,不断开连接,活跃的用户对服务器发送请求,服务器都会正常响应;对不活跃的用户,不进行任何操作;events是分配好的epoll_event结构体数组.epoll将会把发生的事件赋值到events数组中 (events不可以是空指针,内核只负责把数据复制到这个events数组中,不会去帮助我们在用户态中分配内存).epoll通过这些值的设定,来监视fd的行为,如果fd做了这些行为,则会通过epoll_wait来反馈给上层,进行处理。
JAVA—网络通信
Hismybestlove的博客
09-05 1438
本文是学习网络通信入门和简单了解UDP协议和TCP协议,学习和了解CS架构和简单了解BS架构和HTTP协议
​数据链路层——流量控制&可靠传输机制 ​
最新发布
qq_25467441的博客
09-09 378
例题:一个信道的数据传输率为4kb/s ,单向传播时延为30ms ,如果使停止-等待协议的信道最大利用率达到80%,要求的数据帧长度至少为。设数据帧的长度为L比特,则发送方发送全部的数据需要时间:L/4。“停止-等待”就是每发送完一个分组就停止发送,等待对方确认,在收到确认后再发送下一个分组。因为是在讨论可靠传输的原理,所以并不考虑数据是在哪一个层次上传送的。发送方在一个发送周期内,有效地发送数据所需要的时间占整个发送周期的比率。数据链路层的流量控制是点对点的,而传输层的流量控制是端到端的。
200 Gb/s和400 Gb/s网络
dncsk的专栏
09-07 1365
116.200 Gb/s和400 Gb/s网络简介写在前面 :1.需要英文原文请自行官网下载2.本人无授权故亦不接受相关付费服务 如有商业性需求建议寻找有资质的书籍供应商购买3.翻译纯粹为爱发电,因为机器翻译所以错乱较多 建议参照英文原文对比使用 4.欢迎评论区提出建议或意见 原则上不删除评论 原则上不回复私信 和解呈现200GBASE-RPCSPMDIEEEStd802.3-2022,IEEE以太网标准第八节116.200Gb/s和400Gb/s网络116.1概述116.1范围本条款描述了200千兆位和4
[网络]HTTP协议 Cookie与Session
m0_74910646的博客
09-07 732
HTTP Cookie(也称为 Web Cookie、浏览器 Cookie 或简称 Cookie)是服务器发送到 用户浏览器并保存在浏览器上的一小块数据,它会在浏览器之后向同一服务器再次发 起请求时被携带并发送到服务器上。通常,它用于告知服务端两个请求是否来自同一浏览器,如保持用户的登录状态、记录用户偏好等。HTTP Session 是服务器用来跟踪用户与服务器交互期间用户状态的机制。由于 HTTP 协议是无状态的(每个请求都是独立的),因此服务器需要通过 Session 来记住用户的信息。
IP学习——Fiveday
qq_52973916的博客
09-05 475
设备排错:注意黑洞路由
145-Linux权限维持&Rootkit后门&Strace监控&Alias别名&Cron定时任务
DamnVanish的博客
09-07 781
Linux中最强权限维持rootkit
亚信安全出席第五届国际反病毒大会 探究AI现代网络勒索治理
亚信安全官方账号的博客
09-09 261
亚信安全出席活动并发表题为《AI时代下现代网络勒索治理》的演讲
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值