应急响应
主要手法:
Top 找进程
kill -i PID 删除进程
rm -rf 删除文件
1、针对当前性能分析:
top
busybox top #当看不到具体进程时
2、计划任务:
# 查看启动任务:crontab -u root
#全局配置文件如下:
/etc/crontab
/var/spool/cron/root
/var/spool/cron/crontabs/root
/etc/cron.d/
/etc/cron.daily
/etc/cron.weekly
/etc/cron.hourly
/etc/cron.monthly
3、网络连接:
netstat -anltp
busybox netstat -anltp #当看不到具体PID时
4、tcpdump抓包:
(1)抓取所有的经过eth0网卡的网络包,并存到 result.cap 文件中。
tcpdump -i eth0 -w result.cap
(2)抓取源地址是192.168.1.100的包,并将结果保存到 result.cap 文件中。
tcpdump src host 192.168.1.100 -w result.cap
(3)抓取地址包含是192.168.1.100的包,并将结果保存到 result.cap 文件中。
tcpdump host 192.168.1.100 -w result.cap
(4)抓取目的地址包含是192.168.1.100的包,并将结果保存到 result.cap 文件中。
tcpdump dest host 192.168.1.100 -w result.cap
(5)抓取源端口是22的数据包
tcpdump -i eth0 -vnn src port 22
(6)抓取目的端口是22的数据包
tcpdump -i eth0 -vnn dst port 22
5、根据PID定位程序目录
ps -aux
6、定位程序目录
6.1 首先找到项目的进程号 ps aux |grep python,然后进入/proc/进程号查看即可
6.2 首先通过top命令找到对应的PID
之后使用lsof -i PID 查找目录