干货 | 应急响应场景及排查思路

文章预览

由于微信公众号推送机制改变了，快来 星标 不再迷路，谢谢大家！ 无问社区站内阅读 链接： http://www.wwlib.cn/index.php/artread/artid/10538.html 本文结合多个实际应急案例经验进行总结，整理Linux操作系统应急过程中的排查项以及各项的关注内容，结尾提供辅助工具。 通信端口 1.1. 推荐命令 （1）netstat -napt           1.2. 端口通信状态查看 重点关注本地端口、远程通信IP及端口、PID、进程名称，同时可通过连接状态来判断是临时连接还是长时间连接。 通常来讲，反弹shell的链接是长时间的连接，可以每间隔60秒查看一次，如果连续2-3次查看后依旧保持连接状态，则可判定为长期连接，需要重点关注。 1.3. 端口开放情况查看 这里我们需要关注端口开放情况以及本地端口与远程端口通信端口差异。 查看端口开放情况是最基本的操作，排查是否有异常开放端 ………………………………