Liunx应急一直都是安全行业中的重点, 由于是全命令行界面,排查起来也没那么方便, 也一直想做这方面的笔记,今天抽空来总结一下。...常见应急问题 大多数应急常见的问题都是挖矿,或者是被植入菠菜 小部分是中了勒索病毒,如果是勒索病毒的话,看看360、腾讯有没有什么 解密工具, 如果没有的话就重装系统吧,自求多福 (逃。。...---- 排查思路及方法 本节将讲解一些基本的流程,以及一些常用的命令。 ---- 基本流程 接到应急指令后,一般都需要到客户现场去处理的,最好带上电脑 和笔记本。...到达现场后,跟客户沟通,我方需要确认一些信息(我在Windows 安全应急的第三篇有讲解一些), 方便定(shuai)位(guo)问题,后面客户可能会让你上机操作,或者是 使用你自己电脑登录目标机器查找问题...查看当前系统状态(top) top命令:可以持续的监视进程的信息。 挖矿应急通常优先使用top命令来查看系统进程, 一般挖矿病毒站用CPU比较大 ? ---- 2.
`strace -f -p pid` 查看进行的行为 busybox是应急常用的工具。...如果系统命令被替换了可以使用此命令来查看系统相关信息 查看History详细 设置history显示时间和用户名,更方便排查谁在什么时间执行了什么 export HISTTIMEFORMAT="%F...,甚至添加用户和修改用户密码都会记录在这个日志文件中 注:secure 在一些较新的linux已经被rsyslog替换,下面命令中的/var/log/secure 可以尝试换成/var/log/auth.log...即显示1000~2999行 命令替换后门 黑客会替换替换top、ps等命令 检测 stat命令查看文件状态并且使用md5sum命令查看文件hash并将其与正常文件hash进行比较。...如果确定被替换,使用正常文件替代坏文件即可 ?
命令别名 可以使用alias命令查看和修改命令别名。...命令历史 在Shell提示符后按和(上箭头和下箭头)按键,可以翻出上一条和下一条命令,这是命令历史的功能。...date Sat Jun 30 12:21:42 CST 2018 还可以对历史命令进行部分替换并执行,例如使用history查看时有一条这样的命令: 640 ls ~ 使用!...number:s/pattern/replacement/将编号为number的命令中的pattern替换为replacement,比如将上面命令中的~替换为.,即执行ls ...../ 命令替换 使用`完成将命令嵌入到另一条命令: $ echo "Time is `date`" Time is Sat Jun 30 12:31:28 CST 2018 事实上,Shell会首先执行
vim 基本命令查找和替换 vim简单的命令用着还好。比如插入,删除,查询。但替换就用的比较少。所以,还是需要用的时候拿出来对照者看。...(命令模式)冒号+指令 在vim命令模式界面想要退出,需要输入冒号和指令 :wq 保存并退出 :q 维修改退出 :q!...(命令模式)搜索和替换 命令模式下(esc退出插入模式) /keyword //向光标下搜索keyword字符串,keyword可以是正则表达式 ?...:s/old/new //用new替换行中首次出现的old :s/old/new/g //用new替换行中所有的old :n,m s/old/new/g //用new替换从...n到m行里所有的old :%s/old/new/g //用new替换当前文件里所有的old
/bin/bash # Description: 替换rm命令,不是删除文件,而是移动文件到/tmp/trash_tmp/ TMP_DIR="/tmp/trash_tmp" mv $@ $TMP_DIR
Shell脚本中最有用的特性之一就是可以从命令输出中提取信息,并将其赋给变量。有两种方法可以将命令输出赋值给变量。 反引号字符(`) 反引号字符位于键盘上ESC键的下面。...赋值给变量的形式如下: test=`date` # demo $ test=`date` $ echo $test 2017年 1月11日 星期三 21时26分04秒 CST 两个反引号字符之间是shell命令...,shell命令的执行结果赋值给test,注意=两边不能有空格。
(3)查询历史命令 在history里发现了异常操作行为,攻击者查看了当前服务器ip,当前用户权限,用户在线情况等操作。 ?...合理的猜测:结合前面发现Java进程执行dnslog探测等行为,猜测可能存在框架组件存在远程命令执行漏洞。...(5)web框架组件 在web框架组件中,发现低版本的shiro组件,存在明显的远程命令执行漏洞。...框架/组件 版本 spring 4.3.5 RELEASE shiro 1.4.0-RC2 (6)漏洞复现 通过Shiro远程命令执行漏洞成功获取到了服务器权限,存在dnslog探测和命令执行情况,与发现入侵时的迹象一致...03、事件总结 通过以上的分析,可以判断出攻击者通过shiro 远程命令执行漏洞入侵,并在反弹shell执行了一些操作,需要升级shiro至最新版本并生成新的密钥替换。
每次手动切换去gitbash好累,百度一下,记录上点击File->Settings->Tools->Terminal,修改shell path为您想要的命令行终端,例如gitbash:"C:\git\bin
知道这些“秘密”代码意味着你可以使用 sed 这样的命令以编程方式替换它们。任何版本的 sed 都可以,所以你可以使用 GNU sed 或 BSD sed,甚至是 Busybox sed。.../\"/g" "${1}" 将此脚本保存为 fixquotes.sh,然后创建一个包含智能引号的单独测试文件: ‘Single quote’“Double quote” 运行该脚本,然后使用 cat 命令查看结果...这是原始 sed 命令的两个独特的重新实现,对于本文中的脚本来说,它们在功能上是一样的(不过并不是所有的脚本都是这样)。
今天和大家分享的主要是 “命令替换” 以及 “参数扩展” 。...-- 季文康 本文导航 ◈ 前言 00% ◈ 什么是命令替换 14% ◈ 1、一层 SHELL 嵌套 15% ◈ 2、二层 SHELL 嵌套 17% ◈ 3、进阶 30% ◈ 什么是参数扩展 44% ◈...后面学习了很多比较运算符,但多数还是在积累命令数量以及条件语句。再到现在,我开始去思考命令和命令之间存在的关系、语句分隔符的意义、BASH 控制结构等等。...所以今天和大家分享的主要是 “命令替换” 以及 “参数扩展” 。 什么是命令替换 简单的来说就是在 SHELL 内嵌套多条命令,一次性执行得到结果。..." 字符引入参数扩展,命令替换或算术扩展。" —— 官方手册 主要是出于俩个方面考虑: ◈ 多数接受。国内出现了大量 ”变量扩展“ 的文章,多数人已经接受这个名称。 ◈ 便于理解。
要替换字符串,我们需要使用以下格式。 $ sed s/替换的目标字符串/替换后的字符串/ 文件名 在下面我们替换写为“appleorangemelon”的字符串“sample.txt”。...另外,如下所示,在cat命令后用“|”连接sed命令也能得到同样的结果。...$ cat sample.txt | sed s/apple/APPLE/ 注意,sed命令仅替换字符串并输出它,但不会重写实际文件的内容 如果要将替换的内容保存在文本中,请使用重定向“>”。...sed命令使用的选项 命令选项 说明 -e 替换为指定的脚本 -f 文件 添加指定文件中描述的脚本文件的内容 -r 使用扩展正则表达式 sed命令的使用 替换所有行 在先前介绍的格式中,即使在一个行中存在与多个替换对象字符串匹配的字符串...,也仅替换第一个匹配的字符串。
我们使用一条命令来实现这个需求。在Mac系统上测试,发现Sed不灵验,还好亨利老师提醒, Mac下的Sed并不是GNU Sed。所以,才出现了同样的命令在Linux好用,在Mac不灵验。...为了便于展示实例,用一条命令进行当前目录全局替换, 用另外两个命令展示,文件的创建与内容显示。 实际操作太快,有可能看不清楚,在视频中用SpaceVim查看文件内容。...Mac的命令虽然有时候和Linux名字相同,但Mac实现和GNU的实现还是有区别的,典型的命令如:sed,grep。 同样的命令,在Linux上运行通过,在Mac上,Grep使用时要加“--”。...纯命令行展示,整个过程:http://mpvideo.qpic.cn/0bc3f4aaeaaaraapeqgazzrval6daixqaaqa.f10002.mp4?
convertquota命令用于将老的磁盘额数据文件(“quota.user”和“quota.group”)转换为新格式的文件(“quota.user”和“quota.group”)。
Linux中使用sed命令替换字符串小结 最近写了几个小脚本用到了sed命令,学了一下,顺便记下 sed替换的基本语法为: 复制代码 代码如下: sed 's/原字符串/替换字符串/' 单引号里面...,s表示替换,三根斜线中间是替换的样式,特殊字符需要使用反斜线”\”进行转义,但是单引号”‘”是没有办法用反斜线”\”转义的,这时候只要把命令中的单引号改为双引号就行了,例如: 复制代码 代码如下:...sed "s/原字符串包含'/替换字符串包含'/" //要处理的字符包含单引号 命令中的三根斜线分隔符可以换成别的符号,这在要替换的内容有较多斜线是较为方便,只需要紧跟s定义即可,例如换成问号”?.../替换第2行 sed '$s/原字符串/替换字符串/g' //替换最后一行 sed '2,5s/原字符串/替换字符串/g' //替换2到5行 sed '2,$s/原字符串/替换字符串/g' //替换...2到最后一行 替换样式可以多个在同一条命令中执行,用分号”;”分隔,例如: 复制代码 代码如下: sed 's/^/添加的头部&/g;s/$/&添加的尾部/g' //同时执行两个替换规则 sed
用 sed 替换智能引号 计算机并不是打字机。当你按下键盘上的一个键时,你不是在按一个带有印章的控制杆。你只是按下一个按钮,向你的计算机发送一个信号,计算机将其解释为一个显示特定预定义字符的请求。...知道这些“秘密”代码意味着你可以使用 sed 这样的命令以编程方式替换它们。任何版本的 sed 都可以,所以你可以使用 GNU sed 或 BSD sed,甚至是 Busybox sed。...\"/g" "${1}" 将此脚本保存为 fixquotes.sh,然后创建一个包含智能引号的单独测试文件: ‘Single quote’ “Double quote” 运行该脚本,然后使用 cat 命令查看结果...这是原始 sed 命令的两个独特的重新实现,对于本文中的脚本来说,它们在功能上是一样的(不过并不是所有的脚本都是这样)。 在 Windows 上,你可以用 Chocolatey 安装 GNU sed。
tr 将字符进行替换压缩和删除 补充说明 tr命令可以对来自标准输入的字符进行替换、压缩和删除。它可以将一组字符变成另一组字符,经常用来编写优美的单行命令,作用很强大。
/s 165K/s Linux+本地回环+ipv6+动态缓冲区(ptmalloc) 1 8-16384字节 95%/100% 5.6MB/28MB 484MB/s 82.6K/s Linux+本地回环+...280MB 96MB/s 12K/s Linux+跨机器转发+ipv4 2(仅一个连接压力测试) 4KB 13%/100% 280MB 92MB/s 23K/s Linux+跨机器转发+ipv4 2(...1.59GB/s 102K/s Linux+共享内存 3(仅一个连接压力测试) 8KB 36%/70% 280MB 1.27GB/s 163K/s Linux+共享内存 3(仅一个连接压力测试) 4KB...40%/73% 280MB 1.30MB/s 333K/s Linux+共享内存 3(仅一个连接压力测试) 2KB 43%/93% 280MB 1.08GB/s 556K/s Linux+共享内存 3...而替换之前是没有这个问题的。 问题就在于这里,使用map方式实现的CRC32和CRC64性能太差了。我还不清楚具体的原因,不过猜测可能和CPU命中率有关。
如果项目的某一处地方它自己不小心坏掉了,不妨试下下面的这行命令: $ git reflog 这条命令能列出你在 Git 上的所有操作记录,你只要找到 HEAD@{index} 前面所对应的操作索引,并使用下面命令即可...: $ git reset HEAD@{index} 注:使用时需将HEAD@{index}替换为对应索引。...然后,运行下面这条命令,它就会把你刚刚添加的代码合并到最后一次提交上了: $ git commit --amend 女神:哼!刚刚写的提交历史写得不够好,我想重写一下!...如果想要逼格高点,也可以用 cherry-pick 这个命令来完成上面那些操作。具体的操作步骤如下。...解决方案很简单,咱们要么把文件加入到暂存区,要么就直接使用下面这条命令: $ git diff --staged 这样,就可以看到未存入暂存区文件的 diff 效果啦。 女神:这项目怎么这么乱!
当在脚本中需要使用这些变量时,可以使用envsubst命令,该命令可以将环境变量的值替换到文本文件中。 本文将介绍如何使用envsubst命令替换环境变量。...这个文件可以是一个模板文件,其中包含了一些标记,比如${MY_VAR},这些标记将被替换为实际的环境变量的值。 我们可以使用envsubst命令将环境变量的值替换到文件中。...注意:在执行envsubst命令之前,一定要确保已经定义了所有需要替换的环境变量。...在脚本中使用envsubst命令 在脚本中使用envsubst命令也非常简单,只需要将需要替换的文本保存在变量中,然后使用envsubst命令将变量中的值替换到目标文件中即可。...但是需要注意,当使用envsubst命令时,一定要确保已经定义了所有需要替换的环境变量,否则替换结果可能不正确。
将当前目录下所有文件中的tmp替换成rumenz sed > sed -i 's/tmp/rumenz/g' * 替换前备份 > sed -i '.bak' 's/tmp/rumenz/g' * find
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
