Linux 应急响应入门：入侵排查应该这样做( 二 ) _入侵排查

# $PID 为对应的 pid 号ls -l /proc/$PID/exe 或 file /proc/$PID/exe

文章插图
分析进程：
# 根据pid号查看进程lsof -p 6071# 通过服务名查看该进程打开的文件lsof -c sshd# 通过端口号查看进程：lsof -i :22查看进程的启动时间点：
根据 pid 强行停止进程：
kill -9 6071【Linux 应急响应入门：入侵排查应该这样做】注意：如果找不到任何可疑文件，文件可能被删除，这个可疑的进程已经保存到内存中，是个内存进程。这时需要查找PID 然后kill掉
检查开机启动项：
系统运行级别示意图：
查看运行级别命令：
runlevel开机启动配置文件:
/etc/rc.local/etc/rc.d/rc[0~6].d启动linux系统时，会运行一些脚本来配置环境——rc脚本。在内核初始化并加载了所有模块之后，内核将启动一个守护进程叫做init或init.d 。这个守护进程开始运行/etc/init.d/rc中的一些脚本。这些脚本包括一些命令，用于启动运行Linux系统所需的服务
开机执行脚本的两种方法：

在 /etc/rc.local 的 exit 0 语句之间添加启动脚本。脚本必须具有可执行权限
用 update-rc.d 命令添加开机执行脚本

1、编辑修改 /etc/rc.local

文章插图
2、update-rc.d：此命令用于安装或移除System-V风格的初始化脚本连接。脚本是存放在 /etc/init.d/目录下的，当然可以在此目录创建连接文件连接到存放在其他地方的脚本文件。
此命令可以指定脚本的执行序号，序号的取值范围是 0-99，序号越大，越迟执行。
当我们需要开机启动自己的脚本时，只需要将可执行脚本丢在/etc/init.d目录下，然后在/etc/rc.d/rc_.d文件中建立软链接即可
语法：

update-rc.d 脚本名或服务 <remove|defaults|disable|enable>

#1、在/etc/init.d目录下创建链接文件到后门脚本：ln -s /home/b4yi/kali-6666.elf /etc/init.d/backdoor#2、用 update-rc.d 命令将连接文件 backdoor 添加到启动脚本中去sudo update-rc.d backdoor defaults 99开机即执行。

文章插图
入侵排查：
more /etc/rc.local/etc/rc.d/rc[0~6].dls -l /etc/rc.d/rc3.d/计划任务排查：
需要注意的几处利用cron的路径：
crontab -l # 列出当前用户的计时器设置crontab -r # 删除当前用户的cron任务上面的命令实际上是列出了
/var/spool/cron/crontabs/root该文件的内容：

文章插图

/etc/crontab只允许root用户修改
/var/spool/cron/存放着每个用户的crontab任务，每个任务以创建者的名字命名
/etc/cron.d/将文件写到该目录下，格式和/etc/crontab相同
把脚本放在/etc/cron.hourly/、/etc/cron.daily/、/etc/cron.weekly/、/etc/cron.monthly/目录中，让它每小时/天/星期/月执行一次

小技巧：
more /etc/cron.daily/* 查看目录下所有文件入侵排查：
重点关注以下目录中是否存在恶意脚本;
/var/spool/cron/* /etc/crontab/etc/cron.d/*/etc/cron.daily/* /etc/cron.hourly/* /etc/cron.monthly/*/etc/cron.weekly//etc/anacrontab/var/spool/anacron/*
入侵排查：查询已安装的服务：RPM 包安装的服务：
chkconfig --list 查看服务自启动状态，可以看到所有的RPM包安装的服务ps aux | grep crond 查看当前服务系统在3与5级别下的启动项 中文环境chkconfig --list | grep "3:启用|5:启用"英文环境chkconfig --list | grep "3:on|5:on"源码包安装的服务:
查看服务安装位置，一般是在/user/local/

service httpd start
上一页
1
2
3
4
下一页
		  	






























推荐阅读

           
                  
              
                  撸圈哔哔机|OPL暑期赛6月20日开打！LF有望成为第一支三连冠战队 
                
                   
                
              
            

                  
              
                  胆囊炎最怕的5种食物 胆囊炎饮食 
                
                   
                
              
            

                  
              
                  空心菜杆怎么做好吃？ 
                
                   
                
              
            

                  
              
                  晓风残朋|迪丽热巴直播忘开美颜，粉丝随手一截，这皮肤状态真绝了！ 
                
                   
                
              
            

                  
              
                  产后30天有鲜血但不多 恶露不尽怎么办 
                
                   
                
              
            

                  
              
                  养生成医师|不妨多吃以下食物，补心益气，滋补身体，越来越健康，冬天来了 
                
                   
                
              
            

                  
              
                  湖南双峰：亲子运动欢乐多 
                
                   
                
              
            

                  
              
                  玉石|男子在火车上遭同行者下药后偷玉石 
                
                   
                
              
            

                  
              
                  【】7月大婴儿治咳嗽被灌肠死亡 护士无从业资质 
                
                   
                
              
            

                  
              
                  金阊街道|学好党史“必修课” 做好金阊“善学人” 
                
                   
                
              
            

                  
              
                  吹风看海|极简风+CMA架构，C位出圈的可能性有多大？，探店｜几何C 
                
                   
                
              
            

                  
              
                  铭铭聊科技|事业一路发，只幸福不辛苦的四大属相，7月开始横财当头 
                
                   
                
              
            

                  
              
                  九游网|《烟雨江湖》长生诀支线任务怎么做 长生诀支线任务完成攻略 
                
                   
                
              
            

                  
              
                  饵料|早春夜钓有惊喜，前提是夜钓也要有耐心 
                
                   
                
              
            

                  
              
                  海底探探|好事将近？黄轩携女友逛家居店 甜美上演歪头杀 
                
                   
                
              
            

                  
              
                  站长之家▲王小川为爱奇艺发声力挺龚宇：爱奇艺造假是不可能的 
                
                   
                
              
            

                  
              
                   重重|玄幻：且看少年血战重重险恶，诛遍仙佛魔神，登上众道巅峰！ 
                
                   
                
              
            

                  
              
                  一颗仁心向太阳|失眠别总想着吃药，家里常备1物泡水，不早醒不起夜，安睡8小时 
                
                   
                
              
            

                  
              
                  想知道紫砂界是怎么取名的吗 
                
                   
                
              
            

                  
              
                  兰州牛肉拉面的牛肉汤的制作方法,兰州拉面的牛肉汤的做法大全- 
                
                   
                
              
            

          

一篇文章让你彻底理解回调函数 

记录1 Linux使用中的一些问题及解决过程 

深度剖析 Linux cp 命令的秘密 

Linux查看硬件信息超强命令sar，以及可视化工具ksar 

PC电脑|5分钟开机上千台 无影云电脑免费体验1周：Win、Linux通吃 

linux内核SMP负载均衡浅析 

浅谈在Linux中如何将脚本做成系统服务开机自启动 

Linux服务器磁盘满了怎么办 

linux安装php步骤详解 

Spring Boot 中如何统一 API 接口响应格式？