linux恶意IP溯源

最新推荐文章于 2024-07-18 20:07:29 发布
最新推荐文章于 2024-07-18 20:07:29 发布
阅读量555 收藏 5
点赞数 9
文章标签: linux tcp/ip 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45945976/article/details/139435389
版权

在Linux系统中,如果你怀疑某台机器可能与一个恶意IP(如96.66.15.152)有通信,可以通过以下几个步骤进行溯源和调查:

一、查看网络连接:

使用netstat或ss命令来检查当前的网络连接。命令如下:

   netstat -antp | grep 96.66.15.152
   ss -antp | grep 96.66.15.152

这两个命令都可以用来查找与指定IP地址相关的所有网络连接。-antp选项的意思是列出所有(a)当前的网络连接,不限制网络协议(n),并显示监听状态的(t)TCP连接以及相关进程信息(p)。

二、检查日志文件:

查找系统和应用程序的日志文件,可以帮助你理解某一时间点系统的网络活动情况。尤其是/var/log/目录下的日志,如/var/log/syslog,/var/log/messages,/var/log/secure或特定服务的日志,例如Apache的/var/log/apache2/access.log(或对应您使用的web服务器日志),可以提供有用的信息。例如,你可以使用grep命令搜索日志:

   grep -r "96.66.15.152" /var/log/

三、使用Wireshark或tcpdump:

如果可疑通信仍在进行中,你可以使用tcpdump或Wireshark等工具实时捕获与恶意IP的数据包。例如,使用tcpdump:

   tcpdump ip host 96.66.15.152

这会显示所有发送到或来自该IP地址的数据包。请注意,你可能需要相应的权限(通常是root权限)来运行这些命令。

四、查看防火墙日志:

如果你的系统使用防火墙(如iptables或firewalld),检查防火墙日志也能提供与恶意IP通信的线索。防火墙可能已经记录了尝试连接的尝试或阻止的连接。

五、恶意软件扫描:

使用恶意软件扫描工具(如ClamAV)对系统进行扫描,确保没有被恶意软件感染,可能是恶意IP通信的原因之一。
进行以上检查后,应该能够确认是否真的与指定的恶意IP有通信,并得到一些关于通信性质的

内蒙古打野
关注
  • 9
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux应急响应-系统日志排查-溯源
m0_73088370的博客
08-28 960
以空格作为分隔符,来将用户名和ip进行提取(用户登录失败的信息)通过在目录下/secure* 来查看登录的日志。last -n 5 --只看最新的五次登录。通过grep 来将登录失败的用户过滤出来。
ip溯源技术的研究
01-13
ip溯源技术的简单研究,
溯源(三)之Linux-入侵排查
qq_44005305的博客
03-12 924
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
恶意攻击行为之扫描PhpMyAdmin的溯源分析
云舒的博客
10-23 1058
溯源背景为监控恶意行为发现,发现的恶意IP分阶段性进行扫描,扫描特征为对PhpMyAdmin(以下简称phm)的版本号进行扫描,起初几条也就算了,发现类似攻击行为的恶意IP每天不断地出现,于是对其进行溯源分析,经过好些日子的分析,对分析结果总结如下。2、 在部分攻击机上发现config.json文件,其记录了加密的账号、密码,其与c3pool.com相关,经查询,此网站为一个挖矿网站,需科学上网才能访问,但不满足挖矿病毒的条件,也不意味着这个病毒就跟该网站有关。
IP溯源技术研究
05-16
IP地址溯源技术介绍,介绍IP地址溯源方法
攻击IP基础溯源思路思维导图
12-20
攻击IP基础溯源思路思维导图攻击IP基础溯源思路思维导图攻击IP基础溯源思路思维导图攻击IP基础溯源思路思维导图攻击IP基础溯源思路思维导图攻击IP基础溯源思路思维导图攻击IP基础溯源思路思维导图攻击IP基础溯源思路...
恶意代码演化与溯源技术研究.pdf
07-23
恶意代码演化与溯源技术研究.pdf
SDN中IP欺骗数据分组网络溯源方法研究
01-14
IP 数据分组溯源方法是指从目的地址出发,逐跳找到源主机。该方法在软件定义网络(SDN,software defined network)框架下,通过控制器向网络中相关SDN交换机添加探测流表项,并根据目标数据分组触发的有效溯源Packet-...
接着探索Linux的世界 -- 基本指令(文件查看、时间相关、打包压缩等等)
weixin_73359101的博客
07-14 1669
命令输出到某个指定文件中,而不是输出到终端屏幕或终端窗口。我们从键盘输入什么,cat命令就打印什么。命令 + >> + 目标文件名。: 将命令的结果写入目标文件中;这两条指令的作用等价。
linux的学习(四):磁盘,进程,定时,软件包的相关命令
weixin_45037073的博客
07-14 1125
关于磁盘管理,进程管理,定时任务,软件包管理的命令的使用。
Linux中的文件夹作用
qq_36634055的博客
07-16 502
这里放的是系统管理员(超级用户)使用的特殊工具,就像是工具箱里的专业工具,比如ifconfig(网络配置)、fdisk(磁盘分区)等,普通用户一般用不到。:这个目录存放了一些基本的用户命令,就像是工具箱里常用的工具,比如ls(列出文件)、cp(复制文件)等,这些命令对于普通用户和系统管理员都是可用的。:这个目录存放了各种可变数据,包括日志文件、邮件队列、打印队列等,就像是家里放杂物的地方,随着时间的推移,里面的东西会不断变化。:这里放的是可选的软件包,就像是额外的娱乐设施,可以根据需要添加。
定制 Linux 内核的意义
地球空间
07-17 222
2. **配置内核**:使用 `make menuconfig` 或 `make xconfig` 配置内核,选择需要支持的硬件和功能。1. **性能优化**:通过定制内核,可以针对特定的硬件或应用场景优化性能,比如减少不必要的驱动支持、优化调度算法等。7. **持续维护**:随着时间的推移,可能需要对内核进行更新和维护,以支持新的硬件和功能。6. **测试和调试**:启动系统,测试新内核的功能和性能,根据需要进行调试和优化。4. **安装内核**:编译完成后,将生成的内核镜像和相关的模块安装到系统中。
linux dev shm扩容
hello__bug的博客
07-14 254
ctrl + x 保存。
Linux编辑器——vim的使用
最新发布
大学生一枚
07-18 228
原理:vim并不是直接执行,执行前会读取一些文件,比如.vimrc 我们把需要配置的指令写在.vimrc文件中,然后vim执行时就会读取.vimrc文件,配置一些功能,比如行号,自动缩进,自动补齐,代码提示等等;n+shift+x:可以删除光标之前的一个字符,n:一次可以删除n个,在一行以内。n+x :可以删除光标后面的一个字符,n:一次可以删除n个,在一行以内。:控制光标的移动,字符的输入,删除,复制粘贴等等,有一些相关的指令;n+shift+g=nG:将光标定位到整个文本的任意一行,
文件在Linux下为binary格式在Windows下为utf-8格式
qq_38220334的博客
07-17 274
想着是不是之前遇到的问题,有可能是文件中含有特殊字符,然后用vim命令来编辑这个文件,发现,还真是含有一个特殊字符,然后将它删除掉,文件就变成utf-8格式的文件了。在Windows下和Mac下都是没有问题的,在华为云服务器上也是没问题的(操作系统不是centos),但是在自己搭建的Linux服务器(centos)上是有问题的。用shell或者Python脚本去将这个文件转为utf-8格式的,但是都失败了。
Linux 权限
includemainprinf的博客
07-18 454
Linux操作系统中,权限管理是一个至关重要的概念,它确保了系统的安全性和稳定性。同时可以在工作中,设置对象的权限,就算我们很多人使用一台服务器,我们也可以让别人看不到我们文件的内容,或者让别人无法对自己的文件进行操作!
Linux】深入探索`cp`命令:文件复制的全面指南
lph159的博客
07-18 239
cp命令用于复制文件或目录的内容。cp [选项] 源文件 目标文件或目录使用cp命令可以在文件系统中创建新的副本,无论是单个文件还是整个目录树。接下来我们将详细介绍cp命令的各个选项及其用法。
Linux HOOK机制与Netfilter HOOK
Flashing-C的博客
07-18 373
在计算机中基本所有的软件程序都可以通过hook方式进行行为拦截,hook方式就是改变原始的执行流。 Linux常见的HOOK方式:1、修改函数指针。2、用户态动态库拦截。①利用环境变量LD_PRELOAD和预装载机制进行HOOK;②利用函数ptrace可实现对已运行的程序进行HOOK;3、内核态系统调用拦截。通过修改全局系统调用表,对系统调用进行劫持;4、堆栈式文件系统拦截。5、LSM。6、Netfilter HOOK。
怎样用kali进行IP溯源
03-26
在Kali中进行IP溯源的方法如下: 1. 打开终端并输入命令“traceroute IP地址”,其中IP地址是要溯源的目标IP地址。 2. 如果目标IP地址不清楚,可以使用命令“nslookup 域名”获取目标IP地址。 3. 运行命令后,终端将显示从本地主机到目标IP地址的所有路由器和计算机的IP地址。 4. 使用whois工具来查看每个IP地址的所有者信息。输入命令“whois IP地址”并按回车键。 5. 这将显示IP地址的所有者信息,包括公司名称、地址、联系电话和电子邮件地址等。 6. 如果需要更详细的信息,可以使用一些在线工具,如IP Tracker、IP Location、IP2Location等。输入目标IP地址,这些工具可以提供更详细的信息,例如地理位置、ISP、网络活动日志等。 7. 根据溯源结果,可以采取适当的措施保护自己的网络安全,例如封锁IP地址或联系网络管理员。 注意:在进行IP溯源时,确保遵守当地和国际法律法规,不要侵犯他人的隐私权和网络安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值