linux入侵排查_应急响应
1.实验目标
-
掌握linux系统中信息收集的方法
-
掌握linux系统中持久化操作方法及排查方式
-
掌握linux系统入侵排查思路
2.实验步骤
-
1.统计攻击者爆破次数
-
2.排查攻击者第一次使用恶意用户登录的时间
-
3.检查sudoer文件
-
4.排查计划任务
-
5.排查计划任务
-
6.排查恶意服务
-
7.排查系统命令
1.统计攻击者爆破的次数(包括成功)
因为是ssh爆破,所以我们去看ssh的日志,看secure日志,secure日志记录了用户登录成功和失败的日志 1.进入日志目录/var/log/ 2.确定攻击者的ip地址 通过命令cat secure | grep "Failed" | cut -d " " -f 12 | sort | uniq -c //统计失败次数和字段12,字段12就是攻击者的ip地址,判断攻击者爆破的ip地址
10.11.38.202 2.统计攻击者爆破次数,包括成功的次数 命令:cat secure |grep "10.11.38.202"| grep "root"| grep "Failed|Accepted" -c
-
2.排查攻击者第一次使用恶意用户登录的时间
1.排查恶意用户 cat /etc/passwd发现有一个guest用户,并且有管理员权限,可以登录binbash
这个就是恶意用户了,通过secure来排查第一次登录系统的时间
-
3.检查sudoer文件
发现这个guest用户是有sudo,可以直接通过sudo来提权到root
-
4.排查计划任务 使用命令:crontab -l -u root
可以看出来这个任务计划是5个小时执行一次,然后执行的是一个脚本,shell.elf这个肯定是一个恶意脚本文件了,我们去看一下这个脚本的创建时间 这个时间和入侵的时间差不多
排查guest用户是否存在计划任务,也有一个计划任务,记录计划任务的创建修改时间
排查启动脚本,没有异常启动的脚本文件
使用chkconfig来排查异常启动,发现这个guest的恶意脚本在2345级的时候恶意启动,然后再init.d中的这个文件中也有centos_core.elf可执行文件,chkconfig是排查系统自启动服务命令
-
6.排查恶意服务 查看系统服务启动配置
发现恶意服务之后去看恶意服务的脚本内容,这个脚本执行了根目录下的恶意文件,我们可以知道系统再启动服务的时候就会运行这个shell.elf或者说计划任务也会执行这个脚本,很多执行这个脚本的启动项
-
7.排查系统命令 通过排查系统命令来判断系统中的命令是否被篡改,可以通过比较hash值,或者寻找同一时间内发生修改的文件 排查2021-02-05日发生变化的文件目录命令
检查命令的变更时间
可以发现命令的属性发生了变化
发现这个命令被修改了,这个命令会调用shell.elf,还存在关键字过滤
相关文章:
linux入侵排查_应急响应
1.实验目标 掌握linux系统中信息收集的方法 掌握linux系统中持久化操作方法及排查方式 掌握linux系统入侵排查思路 2.实验步骤 1.统计攻击者爆破次数 2.排查攻击者第一次使用恶意用户登录的时间 3.检查sudoer文件 4.排查计划任务 5.排查计划任务 6.排查恶意服务 7.排查…...
AI视频生成产品体验分享(第2趴):Vidu、Hailuo、Runway、Pika谁更胜一筹?
hi,大家,继上次体验完可灵、即梦和pixverse,今天打算从产品经理的角度再研究下Vidu、Hailuo、Runway、Pika这几款产品!欢迎加入讨论! 一、产品简介 1. Vidu:国产自研的「一致性标杆」 📌官网…...
R语言高效数据处理-自定义格式EXCEL数据输出
注:以下代码均为实际数据处理中的笔记摘录,所以很零散, 将就看吧,这一篇只是代表着我还在,所以可能用处不大,这一段时间都很煎熬! 在实际数据处理中为了提升效率,将Excel报表交付给…...
JavaScript基础-获取元素
在Web开发中,使用JavaScript动态地访问和操作网页上的元素是一项基本技能。通过获取页面上的特定元素,我们可以对其进行各种操作,比如修改内容、样式或属性等。本文将详细介绍几种获取DOM元素的方法,并探讨它们的特点及适用场景。…...
基于srpingboot高校智慧校园教学管理服务平台的设计与实现(源码+文档+部署讲解)
技术范围:SpringBoot、Vue、SSM、HLMT、Jsp、PHP、Nodejs、Python、爬虫、数据可视化、小程序、安卓app、大数据、物联网、机器学习等设计与开发。 主要内容:免费功能设计、开题报告、任务书、中期检查PPT、系统功能实现、代码编写、论文编写和辅导、论…...
【小白向】Word|Word怎么给公式标号、调整公式字体和花括号对齐
【小白向】Word|Word怎么给公式标号、调整公式字体和花括号对齐 我的版本:Word 2021 如需快速查看关键步骤,请直接阅读标红部分。 如果遇到无法调整的情况,可以直接下载我的示例文档进行参考:花括号和其他的示例公式.…...
uniapp-x vue 特性
生命周期 在组合式API中,组件可以监听应用和页面的生命周期。但由于应用和页面都有onShow和onHide,导致重名。所以在组合式的组件中监听页面的显示隐藏,改为了onPageShow和onPageHide。 这个和uniapp不一样,uniapp自定义组件无法…...
js逆向-下载某音乐
首先点击播放音乐,会拿到这样一个数据包 查看参数两个参数都是加密的 返回包里面有一个url,url拿到访问发现就是音频链接 访问直接下载下来 要逆向这两个参数采用xhr断点 这里加上路径的一部分 发现这些参数都是加密的 往下跟栈&am…...
百度OCR调用记录
根据说明,调用测试 设置注册的API Key和Secret Key 调用类(官方文档中有) 这里改传入路径; 测试问题 1.{"error_code":110,"error_msg":"Access token invalid or no longer valid"} 查到说是 …...
GraphDPI:通过互信息最大化进行图表示学习来消除部分标签歧义
论文源地址 1. 内容概要 本文提出了一种新的弱监督学习方法GraphDPI,解决部分标签学习(Partial Label Learning,PLL)中的标签歧义问题。GraphDPI结合了图表示学习和互信息最大化,通过图卷积网络(GCN&…...
项目实战:基于瑞萨RA6M5构建多节点OTA升级-创建系统最小框架<三>
MCUBoot项目创建完成后,接下来我们需要搭建多节点OTA系统最小框架,再将系统分模块搭建逐层完善,直到实现最终完整系统。开始动手干吧! 目录 一、创建项目 二、配置FSP 2.1 配置RS485属性 2.2 配置定时器0 2.3 创建初始化进程并配置属性 2.4 创建RS485进程并…...
C/C++模版初阶
文章目录 C/C模版初阶泛型编程函数模版函数模版概念函数模版格式函数模版的原理函数模版的实例化模版参数的匹配原则 类模版类模版的定义格式类模版的实例化 结语 我们今天又见面了,给生活加点<font colorred>impetus!!开启今天的编程之…...
1.FastAPI简介与安装
文章目录 为什么选择FastAPI?FastAPI支持的功能FastAPI的安装第一个FastAPI应用运行应用 为什么选择FastAPI? python web开发: Django: 适合大型复杂项目;Flask:适合灵活开发,搭建小型项目;FastAPI: 兼具开…...
实战指南)
重生之我在学Vue--第14天 Vue 3 国际化(i18n)实战指南
重生之我在学Vue–第14天 Vue 3 国际化(i18n)实战指南 文章目录 重生之我在学Vue--第14天 Vue 3 国际化(i18n)实战指南前言一、Vue I18n 核心配置1.1 基础环境搭建1.2 初始化配置1.3 全局挂载 二、多语言实现方案2.1 基础使用2.2 动态切换语言2.3 高级功能实现复数处理日期/货币…...
Java集合的底层原理
目录 Collection Arraylist HashSet 介绍 哈希值 哈希表的基本概念 HashSet 的内部实现 HashMap 哈希碰撞的处理 总结 TreeSet 特点 红黑树的特性 红黑规则 TreeSet 的内部实现 1. 存储结构 2. 添加元素(重点) 3. 查找元素 4. 删除元…...
SPI驱动(九) -- SPI_Master驱动程序
文章目录 参考资料:一、SPI传输概述二、SPI传输的两种方法2.1 旧方法2.2 新方法 参考资料: 参考资料: 参考内核源码: drivers\spi\spi.c 一、SPI传输概述 SPI控制器的作用是发起与它下面挂接的SPI设备之间的数据传输,那么控制…...
MySQL常用函数详解及SQL代码示例
MySQL常用函数详解及SQL代码示例 引言当前日期和时间函数字符串函数数学函数聚合函数结论 引言 MySQL作为一种广泛使用的关系型数据库管理系统,提供了丰富的内置函数来简化数据查询、处理和转换。掌握这些函数可以大大提高数据库操作的效率和准确性。本文将详细介绍…...
Linux 进程的创建、终止、等待与程序替换函数 保姆级讲解
目录 一、 进程创建 fork函数 二、进程的终止: 1. 想明白:终止是在做什么? 2.进程终止的3种情况? a.退出码是什么?存在原因?为什么int main()return 0? b.第三种进程终止的情况…...
纽约出租车大数据分析实战:从Hadoop到Azkaban的全链路解析与优化)
大数据(1.1)纽约出租车大数据分析实战:从Hadoop到Azkaban的全链路解析与优化
目录 一、背景与数据价值 二、技术选型与组件分工 三、数据准备与预处理 四、实战步骤详解 1. 数据上传至HDFS 2. Hive数据建模与清洗 4.2.1 建表语句(分区表按年份): 4.2.2 数据清洗(剔除无效…...
BSCAN2-1:load design
1. DFT Flow Using Tessent Shell Tessent BoundaryScan 具有一个基本的高层次流程顺序。下图展示了将 Tessent BoundaryScan 插入设计所需的高层次步骤顺序。图中的每个步骤都链接到有关可测试性设计(DFT)流程的更详细信息,包括示例。 Desi…...
 leetcode刷题)
个人学习编程(3-18) leetcode刷题
爬楼梯: 假设你正在爬楼梯。需要 n 阶你才能到达楼顶。 每次你可以爬 1 或 2 个台阶。你有多少种不同的方法可以爬到楼顶呢? 示例 1: 输入:n 2 输出:2 解释:有两种方法可以爬到楼顶。 1. 1 阶 1 阶 2. 2 …...
【css酷炫效果】纯CSS实现立体旋转立方体
【css酷炫效果】纯CSS实现立体旋转立方体 缘创作背景html结构css样式完整代码效果图 想直接拿走的老板,链接放在这里:https://download.csdn.net/download/u011561335/90492014 缘 创作随缘,不定时更新。 创作背景 刚看到csdn出活动了&am…...
)
Android Fresco 框架兼容模块源码深度剖析(六)
Android Fresco 框架兼容模块源码深度剖析 一、引言 在 Android 开发的多元环境中,兼容性是衡量一个框架优劣的重要指标。Fresco 作为一款强大的图片加载框架,其兼容模块在确保框架能在不同 Android 版本、不同设备和不同图片格式下稳定运行方面发挥着…...
ABSD基于架构的软件设计
基于架构的设计(ABSD)Architecture-Based Software Design是一种软件设计方法,强调软件架构设计应该由商业、质量和功能需求共同驱动。这种方法允许设计活动在明确项目总体功能框架的前提下开始,并且需求抽取和分析活动应与设计活…...
LLM中lora的梯度更新策略公式解析
LLM中lora的梯度更新策略公式解析 目录 LLM中lora的梯度更新策略公式解析区别如何使用LoRA代码中的参数更新方式二阶导数(如右侧公式关联的Fisher信息)的作用区别 定义与理论来源: 左公式 F ( w i ) = 1 n...
开源数据仓库全解 — 从原理到实践
🎯 一、什么是数据仓库? 数据仓库(Data Warehouse,简称 DW)是面向分析和决策的专门数据存储系统,旨在整合来自多个源的数据,支持复杂查询和大规模分析任务。 特点包括: 面向主题&…...
Mac下Ollama安装全攻略:开启本地大模型之旅
文章目录 Mac下Ollama安装全攻略:开启本地大模型之旅一、Ollama 是什么功能特点优势应用场景 二、安装前准备(一)系统要求(二)硬件要求 三、下载安装包(一)官网下载(二)其…...
线程大乱斗:从入门到精通,解锁Java并发编程的终极秘籍
目录 什么是线程? jave创建线程方式有几种? 线程中常用的方法 线程状态 多线程 解决线程安全问题 线程通信 何为并发编程? 并发执行和并行执行 线程的三个主要问题: 1、不可见性: 2、乱序性: …...
Web3游戏行业报告
一,gamefi经济 什么是gamefi GameFi是一个缩写,它结合了游戏和去中心化金融(“DeFi”)这两个术语,关注的是游戏玩法如何在去中心化系统中实现货币化。对于游戏而言,只要开放了交易市场,允许玩家自由买卖,…...
hibernate 自动生成数据库表和java类 字段顺序不一致 这导致添加数据库数据时 异常
hibernate 自动生成的数据库表和java类 字段顺序不一致 这导致该书写方式添加数据库数据时 异常 User user new User( null, username, email, phone, passwordEncoder.encode(password) ); return userRepository.save(user);Hibernate 默认不会保证数据库表字段的顺序与 Ja…...