记一次Linux木马清除过程
发布时间:2019-08-28 02:18:19 所属栏目:Windows 来源:xyl870612
导读:前段时间公司发生了一起服务器入侵事件,在此分享给大家也顺便理顺下linux入侵应急响应思路。 一、事件描述 某天监控同事反馈有台机器cpu飙高到2000%,可能机器已经被黑。于是登录上去查看,果然有个进程名为HT8sUy71的进程在作祟,这一看名字就不大可能是
c.查找sudo权限账户
2.2 查看是否有账号异常登录情况: a.查看当前登录用户和其行为
b.查看所有用户最后一次登录的时间
c.查看所有用户的登录注销信息及系统的启动、重启及关机事件
d.查看登录成功的日期、用户名及ip
e.查看试图爆破主机的ip
f.查看有哪些ip在爆破主机的root账号
g.查看爆破用户名字典
3、查找异常文件 3.1 查找cron文件中是否存在恶意脚本
3.2 查看最近一段时间内被修改的系统文件
3.3 按时间排序,确认最近是否有命令被替换,可以结合rpm -Va命令
3.4 确认是否有异常开机启动项
4.借助工具查杀病毒和rootkit (编辑:长春站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
相关内容
- Firefox 70 将引入“非活跃 CSS”,快速排查 CSS 属性
- Brave 浏览器更换 Chromium 内核,支持 Chrome 扩展
- 配置管理 – 我可以使用什么工具来管理Windows Server环境的
- windows-server-2008 – 单向网络连接
- 安全强化你的 Linux 服务器的七个步骤
- 修复Windows 10计算机上的dxgmms2.sys BSOD错误
- 继承Windows 10缺点!教你关停Windows 11烦人的网络搜索
- Win10鼠标滑轮灵敏度怎么设置 Win10鼠标滑轮灵敏度设定方法
- windows-server-2003 – 抑制Windows Server上关闭的“原因
- windows-server-2008 – 使用setspn.exe创建SPN – 访问权限
推荐文章
站长推荐
热点阅读