昨天收集了关于Linux的应急响应排查处置手册,里面内容我认为还是比较详细的,对于所在单位安全制度不允许down文件下来,且又不能upfile排查辅助工具的单位是实用的。...Tools: Gscan and LinuxEmergency 一.Tools 0 a Gscan 本程序旨在为安全应急响应人员对Linux主机排查时提供便利 实现主机侧Checklist的自动全面化检测...⚠️文章中部段落位置有运行截图可以先看运行截图然后回到开头阅读 a LinuxEmergency Linux下的应急工具,支持CentOS系统和RedHat系统。...学会Linux应急新操作 Part. 1....应急手册更新-简说 这是关于应急处置手册的第二篇文章 第一篇是Linux手工应急响应检查手册,适用于单位安全制度不能上传工具且不能下载数据的操作思路 本文是继Linux应急响应文章的第二篇,适用于Linux
本菜菜今天在处置的时候有遇到一台linux主机 在排查过程中原因好好好好好奇葩 想到大家可能也会遇到很多linux主机,故发一篇这样的文章 虽然今天处置的时候并非本文章情况,等过段时间结束了我在发一下我的处置过程涉及到的技术点以及思路
一个高可用的应急故障恢复方案能够确保在遇到灾难性故障时,能迅速、有效地恢复系统的正常运行。 系统架构概述 本产品系统采用两地主备集群架构,核心技术包括MySQL和Redis集群。...以下是一些关键组件和服务: 主数据库集群(MySQL) 缓存集群(Redis) 应用服务器 负载均衡器 应急恢复关键点 1. 预案编制 风险评估: 识别可能导致系统故障的风险。...总结 一个完善的应急故障恢复操作手册是企业连续运营的保障。通过严密的风险评估、备份策略和恢复步骤,企业可以在关键时刻迅速响应,降低停机时间,确保业务连续性。
背景 前一段时间我处理了一次应急响应,我还输出了一篇文章 Linux应急响应笔记。...这两天又处理了一次病毒入侵,在前一次的基础上,这次应急做了一些自动化脚本,应急响应效率有了一定程度的提升,故另做一份笔记。...PS:本文重在分享应急响应经验,文中保留了恶意网址,但是删除了恶意脚本及程序的下载路径。本文仅用于技术讨论与分析,严禁用于任何非法用途,违者后果自负。...应急操作笔记 查看我上一次 Linux应急响应笔记,我发现罗列这么多命令,很多时候眼花缭乱,操作起来也不方便,不如写个shell脚本自动化收集信息。...tar -zcvf GatherInfo.tar.gz GatherInfo 信息收集结果分析 查看自动化收集的信息GatherInfo下的所有文件内容,根据下面的Checklist表项进行挨个梳理排查 应急响应检查表
目录 排查用户相关的信息 排查进程端口相关的信息 查找恶意程序并杀掉 斩草除根 判断入侵方式,修复漏洞 当我们被告知一台Linux服务器被黑客入侵,黑客利用该服务器进行挖矿...#查看爆破用户名字典 总的来说,黑客入侵主机有下列几种情况: 通过 redis 未授权漏洞入侵(好多挖矿程序是通过这个) ssh 弱口令暴力破解 Web 程序漏洞入侵 参考文章: 记一次Linux...木马清除过程 相关文章:Redis未授权访问漏洞 Linux挖矿病毒的清除与分析 Linux下性能监控、守护进程与计划任务管理 来源:
背景 客户的监控系统发现有异常行为,我临时顶替应急的同事处理一下。...应急响应流程 言归正传,应急响应的标准流程应该如何?...Lessons learned总结反思事件,一方面从源头上减小安全事件的发现,另一方面提升应急响应的效率。 上面的应急响应还是非常片面的,我搜罗了一系列网友分享的应急响应经验,整理成章方便以后查阅。.../rkhunter/rkhunter/1.4.4/rkhunter-1.4.4.tar.gz 我测试的时候发现上面链接无法下载了,所以换了下面的链接 wget https://fossies.org/linux...查看Linux帐户 busybox cat /etc/passwd | grep -v nologin busybox cat /etc/shadow busybox stat /etc/passwd
排查过程 过程向客户了解情况后,登录了服务器进行检查,发现历史执行过的命令有些异常,系统帐号被添加了admin,用户组为admin,向客户确认后为客户所执行,帐...
最近被安排做一些应急响应的工作,所以学习了一下Linux进程相关的知识,越学越多,那就记下来吧!...在Linux中: 打开terminal,也就是终端程序,之后可以获得一个shell 通过ssh连接到linux的ssh-server 服务器,也可以获得一个shell 通常我们都是通过以上两种方式来获得一个...进程组 进程的概念大家都能理解的话,进程组就很好说了,其实就是一堆进程捆一起了,之后形成一个组就叫进程组了 这么做肯定是有意义的,不然Linux也不会这么搞,主要还是为了方便管理。...---- 参考文章 https://www.cnblogs.com/lvyahui/p/7389554.html https://wudaijun.com/2016/08/linux-job-control.../ https://zhuanlan.zhihu.com/p/80439267 http://www.ruanyifeng.com/blog/2016/02/linux-daemon.html https
针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,整理了一些思路。.../clamscan -r --bell -i /bin 扫描bin目录并且显示有问题的文件的扫描结果 10.webshell查杀 linux版本: 河马webshell查杀:http://www.shellpub.com
Windows下系统应急: 首先 断网~ 一、检测阶段 1. 备份Web页面 ? 2. 查找隐藏账户 ? 3. 查找可疑进程 ? ? ? 4. 查杀Webshell ? 5....5.根除阶段 (1)修改服务器超级管理员账户密码 (2)修改网站后台管理员账户密码 (3)修复漏洞 (4)更改后台地址 6.接入网络恢复访问 Linux下系统应急: 首先 断网~ 一、 检测阶段 1.
整理下自己之前做的应急响应相关的碎片笔记,太多了,没办法全部列出来,先整理一些常用的。 1....用户 Linux所有用户都会在/etc/passwd、/etc/shadow、/etc/group文件中记录 cat /etc/passwd :查看是否有其他uid,gid为0的情况 less /etc
目前已经推出windows基础篇及此篇linux基础篇试试水,方便大家进行该行动的时候查阅知识点进行基础溯源,同时也欢迎大家反馈想法与意见,如果后续效果可以的话,我们会推出一些真实脱敏的溯源加分案例进行交流...0x01 技能树 Linux常用命令 常见日志的位置以及分析方法 熟悉常规黑客的攻击手法 常规安全事件的处置思路 0x02 linux 常用命令 查找与文本操作 1、find 根目录下所有.jsp
0x00 前言 Linux盖茨木马是一类有着丰富历史,隐藏手法巧妙,网络攻击行为显著的DDoS木马,主要恶意特点是具备了后门程序,DDoS攻击的能力,并且会替换常用的系统文件进行伪装。...0x01 应急场景 某天,网站管理员发现服务器CPU资源异常,几个异常进程占用大量网络带宽: ? 0x02 事件分析 异常IP连接: ?...从以上种种行为发现该病毒与“盖茨木马”有点类似,具体技术分析细节详见: Linux平台“盖茨木马”分析 http://www.freebuf.com/articles/system/117823.html...悬镜服务器卫士丨Linux平台“盖茨木马”分析 http://www.sohu.com/a/117926079_515168 手动清除木马过程: 1、简单判断有无木马 #有无下列文件 cat /etc
由于应急处理往往时间紧,所以尝试将应急中常见处理方法整合到脚本中,可自动化实现部分应急工作。...3、判断常见命令是否被篡改 在之前的应急响应中出现过常见命令被非法篡改情况,如ps、netstat命令被恶意替换,利用stat查看文件详细信息,通过比对时间的方式判断命令是否被篡改。...查看passwd文件,查找用户id为0的特权用户 12、secure日志分析 日志分析是应急的重头工作,尤其是在应急后期的溯源阶段,日志分析更显得尤为重要,由于日志种类包括服务器日志、应用日志,此处只是分析了...脚本整体的思路比较简单,就是远程登录到linux执行常见的应急命令,脚本中的命令在centos下都是可正常运行的,可以在根据实际环境自行在对命令做调整。...blog.nsfocus.net/emergency-response-case-study/ https://github.com/grayddq https://github.com/T0xst/linux
针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Linux服务器入侵排查的思路。...这个日志文件中会记录Linux系统的绝大多数重要信息,如果系统出现问题时,首先要检查的就应该是这个日志文件 /var/log/btmp 记录错误登录日志,这个文件是二进制文件,不能直接vi查看,而要使用...clamscan -r --remove /usr/local/zabbix/sbin #查看日志发现 cat /root/usrclamav.log |grep FOUND 三、webshell查杀 linux
0x01 应急场景 某天,安全管理员在登录安全设备巡检时,发现某台网站服务器持续向境外IP发起连接,下载病毒源: ?
写在前面 博文内容为 《BPF Performance Tools》 读书笔记整理,对原书提到的命令做了简单扩充 博文内容涉及 Linux 60秒快速性能分析命令的简单说明以及指标解释: 理解不足小伙伴帮忙指正...---知乎(三冬三夏) Linux 60秒分析 下面这个清单适用于任何性能问题的分析工作,也反映了笔者在实际工作中,当登录到一台表现不佳的 Linux 系统中后,在最初60秒内通常会进行的操作。...┌──[root@vms100.liruilongs.github.io]-[~] └─$mpstat -P ALL 1 Linux 4.18.0-477.27.1.el8_8.x86_64 (vms100...iostat -xz ┌──[root@vms100.liruilongs.github.io]-[~] └─$iostat -xz Linux 4.18.0-477.27.1.el8_8.x86_64...内核缓冲区不足而导致的接收帧丢弃率 txdrop/s 由于Linux内核缓冲区不足而导致的发送帧丢弃率 txcarr/s 由于载波错误而导致的发送帧丢弃率 rxfram/s 由于帧对齐错误而导致的接收帧丢弃率
Liunx应急一直都是安全行业中的重点, 由于是全命令行界面,排查起来也没那么方便, 也一直想做这方面的笔记,今天抽空来总结一下。...---- 现场环境 ---- 如果是Linux系统的话,见过最多的是CentOS 6,Linux是全命令界面的, 如果是Windows系统的话,一般是Windows server 2008 ----...常见应急问题 大多数应急常见的问题都是挖矿,或者是被植入菠菜 小部分是中了勒索病毒,如果是勒索病毒的话,看看360、腾讯有没有什么 解密工具, 如果没有的话就重装系统吧,自求多福 (逃。。...---- 基本流程 接到应急指令后,一般都需要到客户现场去处理的,最好带上电脑 和笔记本。...查看有没有奇怪进程(ps) 命令: ps -aef | grep inetd grep 是搜索命令 inetd 程序是一个Linux守护进程. ? ? ---- 6.
3.如果要使用k8s作为编排,还需要把步骤2产生的包制作成镜像,比如使用Docker;
0x01 应急场景 某天,网络管理员在出口WAF检测到某台服务器不断向中国香港I发起请求 ,感觉很奇怪,登录服务器排查,想要找到发起短连接的进程。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
