所谓阻断只有三步:
|
排查异常连接
|
命令
|
|
查看目前的网络连接,
定位可疑的ESTABLISHED 进程
|
netstat -ano | findstr ESTABLISHED
|
|
查看端口对应的PID
|
netstat -ano | findstr <PORT>
|
|
查看连接或侦听端口涉及的可执行程序
(需要管理员权限)
|
netstat -nb
|
eg:查看连接或侦听端口涉及的可执行程序 (需要管理员权限)
Linux
|
排查异常连接
|
命令
|
|
列出所有打开了网络套接字的进程
|
lsof -i
lsof -i | grep -E "LISTEN|ESTABLISHED
|
|
出所有打开的端口及连接状态
|
netstat -anptul
netstat -ano
|
eg:出所有打开的端口及连接状态
Windows
|
排查异常进程
|
命令
|
|
查看所有进程(任务管理器)
|
taskmgr
|
|
查看运行在本地或远程计算机上的所有进程
|
tasklist
tasklist | findstr <KEY_WORDS>
|
|
查看进程的完整命令
|
wmic process | findstr "cmd.exe"
|
|
查看进程详细信息
|
msinfo32/软件环境/正在运行任务
|
|
关闭进程
|
wmic process where processid=<PID> delete
|
|
排查异常进程
|
命令
|
|
查找进程PID
|
netstat -anptl
lsof -i:<PID>
|
|
通过PID 查找文件
|
cd /proc/<PID>
ls -ail
ls -ail | grep exe
|
|
查看各进程占用的系统资源
|
top
bpytop
|
|
查看当前进程信息
|
ps aux
|
|
实现某个进程的精确查找
|
ps -ef | grep <KEY_WORDS>
|
|
结束进程
|
kill -9 <PID>
|
|
查看进程树
|
pstree -p
|
|
查找关键字
|
find / -name <KEY_WORDS>
|
eg:查看各进程占用的系统资源
|
排查异常账号
|
命令
|
|
查看当前的账户和用户组
|
lusrmgr.msc
|
|
查看当前账户情况
|
net user
net user aa$
|
|
查看当前组的情况
|
net localgroup administrators
|
|
查看当前系统会话
* 是否有人使用远程终端登陆服务器
|
query user
|
|
踢掉用户
|
logoff <USERID>
|
|
排查异常账号
|
命令
|
|
查看当前系统正在登陆账户的信息
|
w
|
|
查看当前登陆用户
(tty 本地登陆,pts 远程登录)
|
who
|
| 查看账号情况 |
cat /etc/passwd
cat /etc/shadow
|
|
查看所有账户最后一次登陆时间
|
lastlog
|
|
查看用户登陆错误的记录
(检查暴力破解)
|
last
lastb
|
|
查看登陆多久,多少用户,负载
|
uptime
|
eg:查看当前系统正在登陆账户的信息
|
分析异常文件
|
命令 |
|
查看文件时间
|
右键查看文件属性,查看文件时间
|
|
查看某个用户相关文件
|
%UserProfile%\Recent
|
|
分析异常文件
|
命令
|
|
分析文件日期
|
stat <FILE_PATH>
|
|
查看最近24 小时内修改过的文件
|
find ./ -mtime 0
find ./ -mtime 1
find ./ -mtime 0 -o -mtime 1 -o -mtime 2
find ./ -mtime 0 -name "*.php"
|
|
按照时间顺序查找敏感目录文件
|
ls –alht /tmp/
|
|
查找特殊权限文件
|
find / *.jsp -perm 777
find / -perm 777
find / *.sh -perm 777
|
|
查找隐藏的文件
|
ls -ar | grep "^\."
|
|
查看拥有不可修改权限的文件
(不可修改,不能删除,只能追加)
|
lsattr <FILENAME>
|
|
查看SSH 公钥
|
ls -alh ~/.ssh
|
eg:查找隐藏的文件
|
情况
|
做法
|
|
常态
|
* 全盘重装
* 数据迁移、系统盘重装
* 杀进程、删文件、清除账号等
|
|
攻防演习
(对抗)
|
* 存在不死马、内存马、顽固马、APT 等威胁
* 修复漏洞、打补丁
* 恢复生产,保障业务正常
* 取证、溯源
|
