西安网站推广都是怎么做的应用公园官网登录

西安网站推广都是怎么做的,应用公园官网登录,杭州网站设计公司价格,企业 php网站建设今天给粉丝盆友们分享一下应急响应之服务器入侵排查教程。喜欢的朋友们#xff0c;记得给我点赞支持和收藏一下#xff0c;关注我#xff0c;学习黑客技术。 1. 应急响应 应急响应通常是在当服务器被黑客入侵后#xff0c;我们需要对入侵事件进行系统的溯源和排查。主要思路…今天给粉丝盆友们分享一下应急响应之服务器入侵排查教程。喜欢的朋友们记得给我点赞支持和收藏一下关注我学习黑客技术。1. 应急响应应急响应通常是在当服务器被黑客入侵后我们需要对入侵事件进行系统的溯源和排查。主要思路就是先对入侵事件分类然后进一步对服务器进行排查清理木马病毒以及留下的后门程序分析黑客的入侵方式并修复漏洞确保服务器的正常运行。2. 历史命令第一步就是登录服务器排查历史命令记录分析黑客在服务器进行了哪些操作明确下一步的分析方向。linux系统默认会记录用户输入的命令保存到一个.bash_history隐藏文件中ls -al命令可以查看隐藏文件history命令可以查看root用户的历史命令cat /root/.bash_history也可以查看普通用户的历史命令。排查的时候特别要注意wget有可能是下载木马文件ssh可能是异常连接内网主机tar zip数据打包系统配置命令可能是修改系统相关配置。3. linux异常用户分析在linux系统中操作都会被记录到系统日志当中每个用户登录的信息都会记录到日志root用户在linux中拥有最高权限可以执行任何操作在进行排查的时候非常有必要排查linux下是否有异常用户。linux下的用户信息存放在/etc/passwd目录下无密码只允许本机登陆远程不允许登陆密码则存放在/etc/shadow目录。/etc/passwd文件┌──(songly㉿kali)-[~] └─$ cat /etc/passwd root:x:0:0:root:/root:/usr/bin/zsh daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin文件中的每一行代表一个用户的信息每个字段用分号分割用户名密码用户ID组ID用户说明家目录用户对应的shell。/etc/shadow文件:┌──(rootkali)-[/home/songly] └─# cat /etc/shadow root:$y$j9T$VtGT7HATc1Ap2/wR1wbMA/$EHoBQ4kNvn3/qULzCMv3/6f4Vg4BE8c2cxzDXggBKmC:18696:0:99999:7::: daemon:*:18696:0:99999:7::: bin:*:18696:0:99999:7:::用户名加密密码密码最后一次修改日期两次密码的修改时间间隔密码有效期密码修改到期到的警告天数密码过期之后的宽限天数账号失效时间保留ls -l /etc/passwd //查看文件修改时间或者通过cat命令筛选出具有root权限的用户awk -F: ‘$30{print $1}’ /etc/passwd //查看具有root权限的用户uptime //查看登陆多久、多少用户负载w //查看系统信息想知道某一时刻用户的行为last命令可以查看登录历史日志会把每个用户登录的日志记录下来last -i | grep -v 0.0.0.0命令可以筛选出非本地登录的日志可以看到有两个非本地ip的用户登录了服务器。4. 检查异常端口进程使用netstat 网络连接命令查看ip地址端口号是否有建立可疑网络连接等等例如netstat -antlp|more如下所示可以看到有很多ip跟主机建立了http服务44380端口查看进程可以使用ps命令结合auxgrep选项查看linux系统下的进程信息还可以使用top命令查看是否有挖矿木马病毒占用大量的系统资源5. 计划任务排查linux下的计划任务也需要排查一般在linux下的任务计划文件是以cron开头的linux系统中可以使用crontab命令进行计划任务的设置例如-l是列出当前用户的计划任务-d是删除计划任务-e选项是编辑计划任务特别要注意linux系统中未知的计划任务。6. 开机启动项linux系统下的/etc/init.d目录下的文件中存放着开机自动启动的每个程序的目录通过/etc/init.d/程序名 status命令可以查看每个程序的状态排查启动项的目的是检查黑客在入侵服务器后是否有在启动项里安装后门程序。7. 异常文件检查异常文件检查是排查黑客是否有修改服务器上的敏感目录或文件如/tmp目录下的文件同时注意隐藏文件夹以“…”为名的文件夹具有隐藏属性。例如假设我们知道对方上传的webshell的创建时间那么我们可以缩小排查的范围并通过find命令快速找出最近这段时间内创建的文件如find /opt -iname “*” -atime 1 -type f 找出 /opt 下一天前访问过的文件。8. PATH环境变量打开linux shell终端我们一般会执行的常用命令PATH环境变量决定了shell终端将从那些目录加载并执行命令。每个目录以“ : ”符号进行分隔例如当我们在终端输入qqnameshell就会解析PATH环境变量从/usr/local/bin目录下找到qq程序并执行。那么我们可以从这些目录中检查是否存在异常文件或代码等等。网络安全学习资源分享:给大家分享一份全套的网络安全学习资料给那些想学习 网络安全的小伙伴们一点帮助对于从来没有接触过网络安全的同学我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线大家跟着这个大的方向学习准没问题。因篇幅有限仅展示部分资料朋友们如果有需要全套《网络安全入门进阶学习资源包》请看下方扫描即可前往获取