『杂项』一篇关于Linux应急响应的详细笔记（二）

文章预览

点击蓝字 关注我们 日期：2024年06月19日 作者：pbfochk 介绍：Linux系统的应急响应笔记。 0x00 前言 上一篇文章中内容大多数以定时检查为主，通过上篇内容在时间紧急的应急响应中想要快速定位到入侵点还不够，需要通过更多的后门特征来判断问题所在。 0x01 Linux应急检测 1.1 进程检测 >> 1.查看系统进程 ps aux >>  2.显示进程树 ps aux --forest >>  3.按 CPU 使用量排行，多用来筛选挖矿病毒 ps aux --sort=-%cpu >>   4.统计当前服务器进程总数 ps aux | wc -l >>   5.显示完整命令行（默认 ps aux 只显示部分命令行） ps auxww >>   6.实时监控进程某进程 watch -n 1 'ps aux | grep nginx' >>   7.显示进程及其线程的层次结构 ps auxH 1.2 文件检测 >>   1 .按最新添加时间过滤可疑后门文件 ls -lt | head -n 10 >>   2.按最新添加时间过滤指定后缀文件 ls -lt | grep ".jsp" | head -n 10 >>   3.若文件太多， ………………………………