实现原理主要是使用linux提供的crontab机制,定时查询服务器进程是否存在,如果宕机则处理我们预设的脚本。 首先我们要向crontab加入一个新任务。...#获取进程数量 if [ $number -eq 0 ] #如果进程数量为0 then #重新启动服务器,或者扩展其它内容。.../WorldFrame_d -c 1 fi 我这个脚本,只是简单的检测了进程是否存在,不存在就自动重启服务器。 这里其实也可以扩展一下,比如对日志文件的处理以及重启时间等的记录等等。...补充,今天测试的时候发现有时候不执行,跟踪后发现crontab进程出现错误,重启一下就ok了。 使用下面的命令查看crond的状态。...我今天出现了crond dead but subsys locked #service crond start 服务重启后问题解决。
最近公司内网服务器统一管理,要求将所有部门的服务器全部搬到一楼机房。这一搬,服务器的ip都变了。项目中得地址也变了,包括接口地址、数据库地址、云盘地址,然后再和几个环境做一次笛卡尔积。...node进程的管理使用了nsm.exe,nsm又被制作成了服务。因为是接手其他组的项目,我不了解这块。因为这个项目是项目经理负责的,其他同事又不知道具体什么原因。...无奈我将我的node进程杀死,然后再重启了一下,希望能见到奇迹。最后还是不行。但是日志里出现了端口被占用的提示。...最后百度了一个超级杀死node进程的方法: taskkill /f /t /im node.exe 然后重启再看日志,发现端口还是被占用了。杀红眼的我决定重启服务器!...把这些都关掉之后,重启了服务,其他的websocket都正常了。根本原因是用了老的redis地址,报错的原因是redis提前迁移的,端口绑定异常才是我们查找的重点。
VApp:被多开应用所在的进程,该进程实际为VA派生的进程。...并且可以通过远程服务器控制应用是否运行,控制支付宝和微信支付的开启以逃避支付平台打击: ? 目前该类色情应用的VA母包和子包均己被标记为灰色。...有效规避重打包检测 应用可能通过检测签名、包名等方式检查是否被修改。...检查反病毒软件 检查手机上是否安装了反病毒软件,如果存在,则不连接服务器获取命令。 反病毒软件列表由服务器下发: ? 内容如下: ?...不需要重启系统就可以重新加载Hook代码,重启应用即可 3. 可与Native Hook框架结合,Hook二进制库。
先抛个问题:“如何实现 Java 应用进程的状态监控,如果被监控的进程 down 掉,是否有机制能启动起来?” ?...你或许对问题本身还有点不解,暂不针对问题本身进行作答,先不妨一起体验体验 Resin 应用服务器背后一个有意思的事情。 打开控制台,输入命令 ....10597 WatchdogManager 10599 Resin 后台居然启动了两个 Java 进程,先不关心都是干啥用的,我们不妨尝试把 Resin 进程给干掉,先执行 kill -9 10599...不得不说 Resin 进程真是一个杀不死的小强,面对这种咱们啥也没有做,怎么杀 Resin 应用进程都杀不死,你是否会有好奇,这背后是咋回事?...好了,这期主要通过分析 Resin 应用服务器启动的进程,向你抛了一个大大的砖,不知道你心中是否已经有解决思路,到底该如何实现,我们将会在下期揭开谜底。
常见的异常特征: 主机安全:CPU满负载,服务器莫名重启等 网站安全:出现webshell,被植入暗链,网页被篡改等 流量安全:网络堵塞,网络异常等 数据安全:数据泄露,数据被篡改等 文件安全:文件丢失...出现安全事件也不代表对方成功拿下服务器权限,有些安全事件,只是单纯的对方有了进攻行为,是否攻击成功还需要进一步分析才能确定。...入侵排查思路 检查系统账号安全 检查异常端口、进程 检查启动项、计划任务、服务 检查系统相关信息 杀软查杀 日志分析 处置流程: 准备阶段:获取整个事件的信息(比如发生时间,出现啥异常等),准备应急响应相关工具...这种异常文件可以直接分辨出不正常,但是如果入侵者对文件进行免杀处理过,混淆成很普通很正常的文件,这个时候我们该怎么办呢? 这个时候就需要检查网络信息 这边可以看处,异常进程的安全状态是未知文件。...总结:所有说一般后门排查,他都有个进程,进程会有个连接,他会和远程攻击者地址进行连接。这样你就可以检查一下你的网络状态,看是否有异常连接。
Supervisor介绍 Supervisor 是一个客户端/服务器系统,允许其用户监视和控制类似UNIX的操作系统上的多个进程。...Supervisor 是用 Python 开发的一套通用的进程管理程序,能将一个普通的命令行进程变为后台daemon,并监控进程状态,异常退出时能自动重启。...也实现当子进程挂掉的时候,父进程可以准确获取子进程挂掉的信息的,可以选择是否自己启动和报警。...可以理解为在执行命令前会切换到这个目录 在我这基本没啥用 autostart=true #是否自动启动 autorestart=true #程序意外退出是否自动重启 redirect_stderr=true...已经杀不死了 说明守护进程配置成功 查看一下任务 ok supervisorctl status ?
问题是关于域管登录过的域内主机,卡巴之类的杀软保护了 lsass 进程,有哪些方法可以读取域管的明文密码。 想了想那肯定不能直接用 procdump 这种直接去转存,那么该怎么办呢,一时间挺迷茫的。...0x01 方法 1.kill 掉杀软保护的进程 首先想到的就是关掉杀软的进程,但是肯定要高权限,但是之前尝试内网渗透时遇到了某数字......完事之后还需要再重启。也就说连着蓝屏一次总共重启两次,那么这个时候如果第一次重启,域管没有重新登录,那么又怎么能保证获取到的明文密码中有域管的呢? ?...然后设置微软符号服务器,再重新加载: .SymFix # 微软符号服务器.Reload # 重新加载 之后就是查看 lsass.exe 进程的内存地址,切换到 lsass.exe 进程中: !...pid 参考土司大佬和 pony 师傅的方案 使用 RPC 控制 lsass 加载 SSP,实现 DUMP LSASS 绕过杀软 文章地址: https://www.t00ls.net/thread-
而我们也都抱着侥幸心理——大家都在用,应该没问题,大不了装了杀软再扫一遍。何况,杀软都没检查出来,这让我们也很无奈啊,还有什么办法呢?...主要内容 思想原理 杀软主要是通过扫描文件来发现系统是否被感染,扫描策略大部分是静态特征扫描,这个方式对发现已知病毒程序很有效,然而对于发现高级或未知的病毒程序就没那么有效了。...实验方法 为验证笔者的想法,笔者做了如下实验准备: 1.数据采集 笔者在夜深人静的时候,重启了5台电脑,每台电脑上采用wireshark抓包(重启电脑,是为了保证流量的纯粹性),一直采集到笔者第二天一大早来将抓取的数据包保存...数据分析 可以看到,出现了5个疑似恶意的IP地址,如114.114.114.114,我们都知道是国内的域名服务器,这条威胁情报,在微步在线和AlienVault上都能查到,说明这台域名服务器曾经被利用来做过些什么...可以看到,该进程的进程号为5200,再通过进程号关联到进程的名字,运行命令:tasklist | findstr “5200”,有如下结果。 ?
没办法,先试试能不能远程进服务器,发现是OK的。 先使用网络排查三板斧:(1)打开浏览器访问域名,发现无法建立连接。(2)Ping域名,发现域名可以正常解析。...然后我就更改了注册表([HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters]),把端口范围增大到2000,然后重启了服务器...服务器重启过后,肯定是可以正常服务了,毕竟没有重启解决不了的问题,如果有,那就再重启几次。 但是事情就这么完了? 当然不,得找找为什么会有这么多连接,正常的业务情况下,不会出现这种问题。...试着删除该文件,当然是失败了,不过,也知晓了该进程是通过.net服务托管着的,那我就把.net停掉呗,反正没用这个服务。 停掉过后,确实可以杀该进程,而且也没有再启动了,连接也少了。...先通过杀毒软件把这个病毒干掉,具体有没有干干净我也不知道了(菜是原罪)。 业务现在可以正常使用,socket连接也是正常的,没再发现可疑进程 。
利用系统漏洞提权 判断当前系统是否为vista、win7等,如果是则检测当前进程是否具有管理员权限,如果没有该木马会尝试通过CVE-2011-1249将自身提升为管理员权限。...Dll加载后首先判断当前进程,符合条件则将之前备份的核心dll移动到%windir%目录进行劫持(重启后移动)。此为第三种安装方式。...加载核心dll 随后木马判断自身是否位于ie、svchost、杀软等进程,以进行不同的行为,同时尝试直接加载核心dll(如果没加载,劫持需要等系统重启后核心dll才会被加载)。...恶意操作杀软白名单,免杀 木马判断自身是否位于各种安全软件进程中,如果是则调用安全软件自身接口进行白名单添加,会将所有木马文件路径添加到杀软白名单中。经测试,涉及到的安全软件均能正常添加白名单。...针对浏览器进行键盘记录 安装WH_GETMESSAGE全局钩子,安装后理论上所有具有消息循环的进程均会加载此dll,并调用钩子函数,在钩子回调中,判断当前进程是否是 Iexplorer.exe、360se.exe
如目标企业员工联系方式、是否身处企业内部:重要通过目标职位、部门判断,如公司行政职位、办公设备是否接入公司网络、目标在公司的职位岗位、设备是否安装杀软,或杀软类型。...5.为确保成功率,可以考虑使用多个木马和C2服务器进行远控。 七. 权限维持 在获取服务器权限后,为了防止目标发现和修补漏洞或是封禁IP而导致对服务器权限的丢失。...进程迁移通常是将木马进程注入到其他稳定的进程中,msfconsole、cs等都可以很方便的做进程迁移或注入。 2、隐藏文件:大多数普通用户不会开启文件后缀显示或显示隐藏的项目选项。...4、部署邮件服务器沙箱,文件应通过沙箱特征库扫描、威胁情报匹配、启发式扫描和行为识别组合,判断是否为恶意文件或钓鱼链接。内网主机及杀软沙箱及时更新特征库,避免因特征库老旧导致部分恶意文件可落地执行。...5、 核实邮件内容,接收并点击外来文件时,文件应先使用杀软扫描。对“福利”、“补贴”等字眼的邮件应仔细辨别,避免不假思索下载打开不明附件。 6.
抛出一个问题:容器是否需要限制内存的使用,限制CPU的使用呢?...重启服务器了。。。所有的内存已经耗尽。。。。 重启之后查看相关的日志:对。。。重启是万能的。。。 ?...排查思路:根据load值偏高,查询进程的数量和线程的数量,从而从增加的数量查看到是什么样的进程阻塞了CPU的调度,查看系统日志,主要查看oom,从而对比两者的结果进程是否一致,从而看哪个进程OOM需要整改...还有一种情况是,进程已经变成了僵尸进程,从而在oom killer在进行杀死进程的时候,根据当前的进程号id杀,而僵尸进程要想杀死,必须杀掉其父进程,而当僵尸进程的父进程为1的时候,这个时候就相当于服务器重启了...回答第二个问题就是:将一个进程杀死,变成了僵尸进程,自动拉起进程并不能识别变成了僵尸进程,从而会自动拉起服务,然后又内存溢出,再次杀,再次变成僵尸进程,死循环,最终导致内存耗尽。。。
,AMS后面负责清理APP的场景,并看是否需要回复Service,进一步处理后续流程,ActivityManagerService会调用handleAppDiedLocked处理死去的进程: if (now > (r.restartTime...因为,如果在进程未启动的时候启动Service,那么需要先启动进程,之后attach Application ,在attatch的时候,除了启动自己Service,还要将其余等待唤醒的Service一并唤起...--找到跟改Task相关的进程,并决定是否需要kill--> ArrayList procsToKill = new ArrayList(); ArrayMap
运行命令Sudo sz file 就是发文件到windows上(保存的目录是可以配置) 比ftp命令方便多了,而且服务器不用再开FTP服务了。...用标准语法查看系统上的每一个进程。...,但不比较文件的实际内容,不同则列出 diff file1 file2 比较文件1与文件2的内容是否相同,如果是文本格式的文件,则将不相同的内容显示,如果是二进制代码则只表示两个文件是不同的...- h选项意味着在改变符号链接文件的属主时不影响该链接所指向的目标文件 chown -R xh test1 (test1目录及子目录的所有文件属主变为xh) 1.查看要重启进程的进程号 Ps –ef...|grep xxxx 2.杀掉该项目的进程 先杀第二列,再杀第一列 Sudo kill -9 x x (x为进程号,同时杀多个中间以空格分割) 3.重启tomcat 首先找到tomcat的bin目录
这篇只是个开篇,不会很长,主要先做个引子,大致聊一聊思路和方法。 先把必查项给大家列一列,这些是up主的一些经验,如有错漏欢迎大家补充。...(也是老生常谈,up会单独写一篇关于进程排查的,把白进程和可疑进程都给大家列出来) 6.历史命令(主要针对linux,有时候一个cd都能暴露很多信息,所以最好设置自动备份history) 7.远程连接记录...取决于客户系统的重要性,是否支持隔离,业务中断是否产生极大影响,和客户商量后视情况而定,毕竟不是每一台服务器都可以说拔网线就拔网线。...如果无法进行隔离,那就需要根据受攻击类型来判断下一步,如果是中了马的,单独把木马隔离出来,一般杀软都可以实现的没有例外(要是连杀软都没有装就直接当堂教育客户吧,这么重要的业务连个杀软都没有?!)...,linux的话看看有没有edr,有的话也可以在服务器端进行远程杀毒隔离开,这一步是隔离就不扯这么多了。 二、定位攻击?
扩展了原生 Nginx 的分流、限流功能,支持规则的内存实时同步,无需修改配置文件,更无需重启 Nginx 进程。 1....,支持 Web 控制台一键启停上游服务器,便于当应用服务器需要维护或升级时,用户请求正常访问。...三、限流 京东 618 等大促,货物都提前堆积在购物车,等待零点秒杀,换成工程师的语言来说,就是前一秒的 QPS 很低,但是下一秒 QPS 非常高,流量大意味着机器负载高,若一个应用的一两台机器没有扛住...b)在目标机器做操作时做第二层检测,例如先执行 Nginx –t 校验。 c)执行完毕做第三层校验,例如端口是否启动,进程数是否一致等。...b)按百分比支持批量执行,例如某个机房的 Nginx 先升级 10%。
Nginx是优秀的HTTP和反向代理服务器,京东各部门都在广泛使用,但普遍都面临着一些问题: 配置复杂,专业性强。 配置文件无法批量修改且配置变更依赖重启操作。...扩展了原生Nginx的分流、限流功能,支持规则的内存实时同步,无需修改配置文件,更无需重启Nginx进程。...限流 京东618等大促,货物都提前堆积在购物车,等待零点秒杀,换成工程师的语言来说,就是前一秒的QPS很低,但是下一秒QPS非常高,流量大意味着机器负载高,若一个应用的一两台机器没有扛住,这样就会导致整个应用集群雪崩...在目标机器做操作时做第二层检测,例如先执行Nginx –t校验。 执行完毕做第三层校验,例如端口是否启动,进程数是否一致等。 2、灰度执行 单个Nginx依次执行,有任何异常立即中断开始人工介入。...按百分比支持批量执行,例如某个机房的Nginx先升级10%。 ?
特征2:出现两个spoolsv.exe进程 ? 特征3:出现大量445端口连接请求 ? 特征4:遭受攻击的设备在重复蓝屏重启过程 ?...因此完整结构的病毒取证很容易,通过病毒特征、文件、进程、服务等可以判断该病毒信息,确认病毒后处理也较为容易,可手工、可杀软,看个人爱好。...取证过程,对系统进程多次分析后未发现异常进程和服务项,也使用过系统上安装的杀软进行病毒查杀,但均未发现问题,但感知平台却有记录,心理很急,可是却又无从下手。找不到异常进程和服务项,也没有病毒文件。...连接C&C,往iqp.sjime.com的UDP 8000端口发送包含当前进程信息的数据,接收并解密服务器返回的数据,从数据中解密提取要下载的url地址,从相关url地址下载wav文件到指定目录。...第三章、总结 当在对病毒的取证过程中没有思路时,可以重头开始,先研究病毒特征,再进行取证。取证是一个极其枯燥的一个过程,需要耐心和精力,如逆水行舟。
,拿了台服务器却横向移不动就尴尬了。...方法1-加壳+签名+资源替换(VT查杀率9/70) 这里先介绍一种比较常见的pe免杀方法,就是替换资源+加壳+签名,有能力的还可以pe修改,而且mimikatz是开源的,针对源码进行免杀处理效果会更好,...procdump.exe工具是微软出品的工具,具有一定免杀效果。可以利用procdump把lsass进程的内存文件导出本地,再在本地利用mimikatz读取密码。...方法2-Debug 权限 Mimikatz在获取密码时需要有本地管理员权限,因为它需要与lsass进程所交互,需要有调试权限来调试进程,默认情况下本地管理员拥有调试权限,但是这个权限一般情况是很少用得到的...5、白名单执行大部分还是使用了将C#程序转为js的方法,静态免杀效果还不错,但白名单最尴尬的是远程调用时杀软都会拦截报警,在2008服务器上你用webshell调用任意程序最新的360都会拦截。
除此之外,部分DOS攻击利用系统漏洞使服务器无法正常运行,如经典的MS12020,可以使任意开放了RDP服务并且没有打对应补丁主机蓝屏重启,从而导致无法正常提供服务。 ?...DNS劫持应该优先排查好主机方面的问题,如DNS配置有无问题,本地hosts文件是否被篡改过,浏览器设置是否被改动,前两种情况可以直接查看,浏览器设置问题可以使用360、火绒等杀软直接进行扫描并修复。...如果仍未解决问题,那么考虑DNS服务器是否遭受入侵。...登录DNS服务器,查看DNS配置是否存在问题,若发现被恶意更改,则确认该事件是由于DNS服务器遭受入侵导致,需要使用杀软进行病毒查杀扫描,可以参考上篇文章中的主机处理流程。...另外如进程请求变化太快不好定位,推荐个大佬写的小工具可以试试。 APT事件 此类事件本人接触的并不多,实际遭遇目前差不多就两三次的样子。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
实时音视频
对象存储
云直播
