linux应急响应
一、应急响应前置原则1.先取证后操作不重启、不删进程、不修改日志避免销毁入侵痕迹2.隔离优先受感染主机立即断网物理 / 防火墙拉黑 IP防止横向渗透、数据外传3.全程留痕所有操作记录时间、命令、输出留存操作日志用于溯源复盘4.分层处置先止损 → 取证 → 溯源 → 清除恶意载荷 → 加固复盘二、阶段 1事件确认与隔离1. 判定告警类型常见入侵特征1.异常外联、对外挖矿 / 木马 C2 端口2.陌生高占用 CPU / 内存进程、定时任务3.新增未知用户、sudo 提权记录4.Web 目录木马、webshell、病毒文件5.日志大量爆破、异常登录、root 异地登录2. 主机隔离二选一1.物理隔离拔掉网线彻底阻断网络2.逻辑隔离防火墙封禁本机出站 / 入站仅保留运维内网管理端口阻断横向扩散。# 临时阻断所有出站流量仅留ssh内网iptables-POUTPUT DROP iptables-AOUTPUT-s本机IP-d运维管理网段-ptcp--dport22-jACCEPT3. 初步快照取证不中断恶意进程1.系统基础信息uname-a;cat/etc/os-release;uptime;date2.进程、端口、连接快照psauxfps_bak.txt#进程netstat-antupnet_bak.txt#端口ss-antupnet_bak.txt#恶意外联lsof-ilsof_bak.txt#恶意外联3.登录、用户、定时任务last;lastlog;cat/etc/passwd /etc/shadowuser_bak.txtcrontab-l;ls-l/etc/cron.*cron_bak.txt4.挂载、启动项mount;ls-l/etc/rc.d/rc.local /etc/systemd/system/boot_bak.txt三、阶段 2全面取证1.可疑进程排查无路径、无父进程、隐藏进程psauxf|grep-E(defunct|tmp|/dev/shm)ls-lh/proc/[PID]/exe# 查看进程真实文件路径查找删除仍在运行的恶意程序lsof|grepdeleted2.恶意文件路径/tmp、/var/tmp、/dev/shm、/root/.xxx 隐藏目录find/tmp /dev/shm-typef-mtime-1-execls-lh{}\;3.账号与权限提权痕迹可疑后门账号grep-vx:0:/etc/passwd|grep:0:UID0 后门账号 SUID 提权木马find /-perm-40002/dev/nullsudo异常记录grepsudo/var/log/secure4.计划任务挖矿、持久化后门重灾区# 用户级定时任务crontab-l-uroot# 系统全局定时任务ls-l/etc/cron.hourly /etc/cron.daily /etc/cron.weekly /etc/cron.monthly /etc/cron.dcat/etc/crontab# systemd定时器systemctl list-timers四、常见应急及排查方式服务器挖矿病毒1.排查占用CUP高的进程tophtop2.排查恶意的链接ss-antuplsof-i#外联3333/4444/14444/5555 等矿池端口ss-antup|grep-E3333|4444|144443.找进程#拿到可疑 PID 后查看程序真实路径ls-lh/proc/[可疑PID]/exe#查找挖矿关键字进程psaux|grep-Eminer|xmrig|kdevtmpfsi|stratum|sysupdate|ddgs4.杀掉进程# 强制终止进程-9 不可忽略kill-9[可疑PID]# 批量终止所有相关子进程pkill-f[恶意进程名]pkill-fkdevtmpfsipkill-fxmrigpkill-fminerd5.删除恶意文件# 删除恶意可执行文件rm-f/path/to/malicious/file# 删除 systemd 服务systemctl stop[恶意服务名]systemctl disable[恶意服务名]rm-f/etc/systemd/system/[恶意服务名].service无法删除或者删除后重启1.查询病毒进程的PIDtop-c2.通过 systemctl status PID 命令 查询进程启动流程 systemctl status12343.直接定位到病毒对的具体位置4.删除执行程序 和 相关.service6.定时任务1.2.3./tmp、/dev/shm、/var/tmp存在无权限陌生二进制文件4. crontab、systemd 存在定时拉取恶意脚本任务文件排查ls-alt#查找72小时内新增的文件find/-ctime-2#文件日期、新增文件、可疑/异常文件、最近使用文件、浏览器下载文件/tmp#临时目录find/ *.jsp-perm4777#查找777的权限的文件(可以将文件名进行修改php、py、html、sh等)日志排查grepFailed password for root/var/log/secure|awk{print $11}|sort#查看爆破主机的ROOT账号的IPgrepAccepted /var/log/secure*|awk{print $1,$2,$3,$9,$11}#查看登录成功的日期、用户名及IP/var/run/utmp#有关当前登录用户的信息记录用户/etc/shadow 密码登陆相关信息uptime查看用户登陆时间 /etc/sudoers 查看sudo用户列表awk-F:{if($30)print $1}/etc/passwd 查看UID为0的帐号 lastb 用户错误的登录列表

相关新闻

爽翻!输入主题,这几款AI论文网站就能帮你搞定毕业论文

爽翻!输入主题,这几款AI论文网站就能帮你搞定毕业论文

毕业季论文焦虑?还在为选题发愁、查资料耗时、写内容卡顿?别急,输入主题,这几款AI论文网站就能帮你搞定毕业论文!千笔AI、ThouPen、豆包、DeepSeek、元宝,五款热门工具实测上线,从开题报告到结论…

2026/7/7 14:39:08阅读更多 →
告别烧录烦恼:Balena Etcher一站式解决系统镜像写入难题

告别烧录烦恼:Balena Etcher一站式解决系统镜像写入难题

告别烧录烦恼:Balena Etcher一站式解决系统镜像写入难题 【免费下载链接】etcher Flash OS images to SD cards & USB drives, safely and easily. 项目地址: https://gitcode.com/GitHub_Trending/et/etcher 在数字时代,为树莓派、单板计算机…

2026/7/7 14:39:08阅读更多 →
DS28EC20 EEPROM芯片与PIC18F55K42微控制器的嵌入式存储方案

DS28EC20 EEPROM芯片与PIC18F55K42微控制器的嵌入式存储方案

1. DS28EC20 EEPROM芯片深度解析DS28EC20是Maxim Integrated(现为Analog Devices子公司)推出的一款1-Wire接口EEPROM存储器,具有20Kbit(2560字节)存储容量。这款芯片在嵌入式系统中特别适合用于保存用户设置、配置参数…

2026/7/7 14:34:08阅读更多 →
Kotlin中沉浸式状态栏显示布局

Kotlin中沉浸式状态栏显示布局

方法一工具类class SetSystemBars {companion object{fun setupSystemBars(activity: Activity,view: View) {// 沉浸式状态栏配置WindowCompat.setDecorFitsSystemWindows(activity.window, false)activity.window.statusBarColor Color.TRANSPARENTval insetsListener OnAp…

2026/7/7 15:39:15阅读更多 →
DALL-E 3 API 集成实战:5步构建自动化社交媒体配图生成系统

DALL-E 3 API 集成实战:5步构建自动化社交媒体配图生成系统

DALL-E 3 API 集成实战:5步构建自动化社交媒体配图生成系统 在当今内容爆炸的时代,视觉元素已成为社交媒体营销的关键胜负手。数据显示,带有高质量配图的帖子互动率提升幅度可达650%,而人工设计每张图片平均耗时27分钟。本文将带…

2026/7/7 15:39:15阅读更多 →
多通道信号采集系统设计与优化实战

多通道信号采集系统设计与优化实战

1. 项目背景与核心需求 在工业自动化、医疗设备和测试测量领域,多通道信号采集与控制系统一直是关键的技术难点。传统方案通常采用分立式ADC/DAC芯片配合FPGA或通用MCU实现,这种架构不仅增加了PCB面积和功耗,还面临信号同步性差、校准困难等问…

2026/7/7 15:39:15阅读更多 →
汽车电子智能温控系统设计与实现

汽车电子智能温控系统设计与实现

1. 汽车电子散热系统的核心挑战与解决方案 在现代汽车电子系统中,散热管理已经成为决定系统可靠性和性能的关键因素。随着车载ECU(电子控制单元)功能日益复杂,功率密度不断提升,传统的被动散热方案已经无法满足需求。以…

2026/7/7 15:39:15阅读更多 →
104天闪电过会!宇树科技IPO深度解析:420亿估值的“具身智能第一股“如何炼成,人形机器人产业化拐点已至

104天闪电过会!宇树科技IPO深度解析:420亿估值的“具身智能第一股“如何炼成,人形机器人产业化拐点已至

引言:一个时代的IPO 2026年7月6日,上海证券交易所官网显示,宇树科技股份有限公司科创板IPO审核状态变更为"注册生效"。从3月20日提交申请获受理,到7月2日证监会批复注册,全程仅104天,创下科创板预先审阅机制落地以来最快审核纪录。 这家成立于2016年8月的杭州…

2026/7/7 15:39:15阅读更多 →
ICM-42688-P与PIC18F96J94在工业运动控制中的高效组合

ICM-42688-P与PIC18F96J94在工业运动控制中的高效组合

1. ICM-42688-P与PIC18F96J94的黄金组合解析 在工业自动化和机器人控制领域,传感器与微控制器的选型往往决定了整个系统的性能上限。ICM-42688-P作为TDK InvenSense推出的第六代工业级6轴MEMS运动传感器,与Microchip的PIC18F96J94这款高可靠性微控制器的…

2026/7/7 15:34:15阅读更多 →
从GitHub安全案例解析常见漏洞与防护实践

从GitHub安全案例解析常见漏洞与防护实践

1. 项目概述:从GitHub Trending看安全实战 最近在GitHub Trending上看到一个项目,叫 skills4/skills ,它因为一些安全漏洞案例被大家讨论。这其实是一个挺典型的场景:一个旨在展示或教授某种技能的仓库,本身却成了安…

2026/7/7 4:43:43阅读更多 →
MLT 2026启示:因果推理与概率建模驱动下一代LLM应用

MLT 2026启示:因果推理与概率建模驱动下一代LLM应用

# MLT 2026启示:因果推理与概率建模驱动下一代LLM应用## 一、背景与挑战:从“黑箱预测”到“可信推理”2026年6月,第7届机器学习与趋势国际会议(MLT 2026)将在悉尼召开。会议议程中,“因果与可解释机器学习…

2026/7/7 2:56:31阅读更多 →
通达OA SQL注入漏洞深度剖析:从手工注入到自动化利用与防御

通达OA SQL注入漏洞深度剖析:从手工注入到自动化利用与防御

1. 项目概述与漏洞背景最近在梳理一些历史OA系统的安全风险时,通达OA v11.6版本中的一个老漏洞又进入了我的视线。这个漏洞位于/general/bi_design/appcenter/report_bi.func.php文件中,是一个典型的SQL注入点。虽然这个漏洞的利用方式看起来并不复杂&am…

2026/7/7 1:03:28阅读更多 →
Acunetix v24.8 深度解析:DAST漏洞扫描器核心原理与DevSecOps实践

Acunetix v24.8 深度解析:DAST漏洞扫描器核心原理与DevSecOps实践

1. 项目概述:Acunetix v24.8 高级版漏洞扫描器深度解析作为一名在网络安全领域摸爬滚打多年的老兵,我深知一款趁手的“兵器”对于安全测试工作意味着什么。今天要聊的,就是Web应用安全测试领域里一个响当当的名字——Acunetix。特别是其v24.8…

2026/7/7 0:02:41阅读更多 →
国产化信创改造:达梦/人大金仓适配与多数据库兼容方案实战(SpringBoot)

国产化信创改造:达梦/人大金仓适配与多数据库兼容方案实战(SpringBoot)

国产化信创改造:达梦/人大金仓适配与多数据库兼容方案实战(SpringBoot) 🌐 演示地址:http://ruoyioffice.com | 📦 源码1GitHub:ruoyi-office | 📦 源码2GitCode:ruoyi-o…

2026/7/7 0:02:41阅读更多 →
CentOS 7/8 SSH 连接失败:5步系统性排错流程与决策树

CentOS 7/8 SSH 连接失败:5步系统性排错流程与决策树

CentOS SSH连接故障排查:从基础检查到深度修复的完整指南引言当你尝试通过Xshell或其他SSH客户端连接CentOS服务器时,突然遭遇"Connection refused"或"Connection timed out"的错误提示,这种经历对任何运维人员或开发者来…

2026/7/7 0:02:41阅读更多 →
YOLOv8推理性能优化:从1.2FPS到35FPS的全链路加速实践

YOLOv8推理性能优化:从1.2FPS到35FPS的全链路加速实践

如果你在部署 YOLOv8 时,发现推理速度只有可怜的 1-2 FPS,而别人的演示视频却能跑到 30 FPS 以上,那么问题很可能不在模型本身,而在于你的整个处理链路。很多开发者拿到一个训练好的 YOLOv8 模型后,会直接使用官方示例…

2026/7/7 5:11:21阅读更多 →
Coze与Dify对比指南:低代码AI应用开发从入门到实战

Coze与Dify对比指南:低代码AI应用开发从入门到实战

1. 从零到一:为什么你需要了解 Coze 和 Dify?如果你对 AI 应用开发感兴趣,但一看到“大模型”、“智能体”、“工作流”这些词就头疼,觉得门槛太高,那这篇文章就是为你准备的。很多开发者,包括我自己&#…

2026/7/7 5:11:21阅读更多 →
AI生图工具怎么选?2026年6月版实测对比

AI生图工具怎么选?2026年6月版实测对比

做自媒体的朋友应该都有体会:配图一直是个让人头疼的问题。2026年,AI生图工具已经非常成熟了,但工具太多反而不知道怎么选。以下是截至2026年6月我对主流AI生图工具的实测对比。Midjourney V8.1:速度之王2026年6月11日&#xff0c…

2026/7/7 5:11:21阅读更多 →