Part6查看计划任务 Part7查看制定文件夹七天内被修改过的文件 Part8扫描主机驱动程序 Part10日志排查 Part11登陆排查 Part12启动项排查 排查思路 深入分析,查找入侵原因...IP 成功登录机器 检查系统是否采用 默认管理端口 检查/etc/passwd文件,看是否有非授权帐户登录 检查恶意进程及非法端口 运行netstat -antp,查看服务器是否有未被授权的端口被监听,...进入 cron 文件目录,查看是否存在非法定时任务脚本 检查第三方软件漏洞 如果您服务器内有运行 Web、数据库等应用服务,请您限制应用程序帐户对文件系统的写权限,同时尽量使用非 root 帐户运行...) 可以通过判断开放的异常端口来进行排查,或通过state字段来判断有没有端口进行网络连接。...· lsof -i(查看正在进行的网络连接) · · lsof -p [pid]查看进程PID打开的文件 lsof -c [进程名]查看该进程打开的文件 · lsof -i:[端口号]查看该端口对应的进程
5.指定端口(-p/--port)四层才有端口的概念,因此TCP、UDP模式均支持使用此参数,前面的示例中也已经体现,不再重复赘述。...nexttrace -m 2 # 只跟踪前两跳图片8.指定初始TTL值(-f/--first)前面说过,ttl默认从1开始递增,如果只想看某几跳之后怎么走,比如忽略内网节点,这时候就能通过此参数来指定初始...同时可以配合-m参数,来获取某几跳之间的路径情况,比如从第三跳开始到第六跳可以是:nexttrace -f 3 -m 6 图片9.禁止反向解析(-n/--no-rdns)防止将IP解析成域名...图片所以可想而知,如果不加-n参数,不光是给每个节点发探测请求,还随之附带PTR记录的DNS query,看是否存在域名的可能性,这将花费一部分不必要的时间,因此没有反向解析域名的需求下,强烈建议默认加上...当然你也可以修改源码后重新编译成二进制文件:图片12.输出Router-Path路径(-P/--route-path)此参数可详细显示ASN号路径走向。
Java服务端 1、出错一般来说是两种情况: (1)代码逻辑出错了 (2)传入参数出错了 2、在上述情况都正确的情况下,那么业务逻辑可能是正常执行了。...监听的网络服务 1、 netstat -auntlp 找到所有正在运行的服务,检查它们是否应该运行。查看各个监听端口。...服务器是几核的? 是否有某些CPU核负载过多了? 服务器最大的负载来自什么地方? 平均负载是多少?...busy servers */ ss -s 具体关注以下问题: 内核是否做什么相关优化?...看看是否有硬件错误或文件系统错误?
然后,就是去找网络同事,问外网ip:xxx端口对应的内网ip和端口,得到了内网ip(记作B):80端口。...,配置文件中配置了反向代理,将请求反向代理到了服务器C:8088端口。...于是,又去找同事要服务器C的密码,这次还好,是个linux机器,查询8088端口对应的服务,是个nginx进程,然后查看该进程的配置文件,发现请求被反向代理到了本机的9901端口。...当时,基于两个原因,决定采用strace去看看nginx的系统调用: 看看是不是我把location看错了,nginx把请求发到其他机器去了,所以在9901的java服务才看不到日志 看看是不是nginx...内部报啥错了,error日志没体现出来 然后找到nginx的pid后,使用如下命令查看网络调用: strace -p nginx-pid -q -f -s 10000 -e trace=network
沟通贯穿整个应急响应流程,也是最重要的,切记不要一上来就查,了解事件原因才会事半功倍。...如果是拖库,那么下一步排查SQL注入、数据库密钥、getshell、备份文件等等。常规的业务场景通过越权获取到数据不是全量的。...0x02 Linux 排查思路 1.用户,查系统是否存在异常用户 cat /etc/passwd 2.进程,查看是否存在异常进程,名字特别,CPU使用率高 top ps aux 3.网络连接,查看服务器当前是否有异常连接...,例如22端口连接的IP是国外的,那就要注意了。...= $temp_ip ]] then m=`curl -s https://www.ip.cn/index.php?
所以我们先要去/etc/pam.d/system-auth 文件下查看是否配置复杂度策略,密码复杂度要求,在/etc/shadow文件下查看当前用户的口令最长使用期限,在/etc/login.defs文件下去查看后续新增账户口令最长有效期...这里的预设问题就是要你答出本地和SSH远程登录的登录失败处理功能配置,然后需要强调说明root账户已禁止SSH远程登录,所以针对sshd文件下的root的锁定参数无需配置。...预设问题也是一样的,就是查这个蓝牙组件 ? b) 应关闭不需要的系统服务、默认共享和高危端口; 安全策略: ?...c) 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。 安全策略: ? 这里很明显叫你去查看是否仅这三个地址能远程访问服务器。...一般我们在/etc/hosts.allow、/etc/hosts.deny中查看是否有相应参数,我觉得他这里很刁钻,我们先看看我当时看到的这两个文件下的配置: hosts.deny文件配置:ssh:all
NFS 是Network File System的缩写,即网络文件系统。一种使用于分散式文件系统的协定,由Sun公司开发,于1984年向外公布。...功能是通过网络让不同的机器、不同的操作系统能够彼此分享个别的数据,让应用程序在客户端通过网络访问位于服务器磁盘中的数据,是在类Unix系统间实现磁盘文件共享的一种方法。...,no_all_squash,anonuid=1002,anongid=1002) 参数详解: NFS安装完毕,需要创建共享目录,共享目录在/etc/exports文件里面配置,可配置参数如下: /www...用户都不能操作删除及修改文件,例如root用户都不能删除jfedu.txt文件: 6.如果也只需要客户端的test用户去对www共享文件夹有增删改查权限的话,需要以下步骤: a....文件成功,代表NFS共享目录指定用户读取(增删改查)成功。
基于MAC方式时,对一个端口下挂的所有用户,每一个用户都必须通过认证才能上网,基于端口方式时,对一个端口下挂的所有用户,只要有一个用户通过认证,其他用. microsoft网络适配器多路传送协议:至少要双...求助,不小心把microsoft LLDP协议驱动程序删除了,要怎么安装回去,网络。 您好,可能需要重装系统了,建议不要再随便修改或者删除系统上的文件了。...我帮你查了....(我去Cisco查的)记得给我分喔^_^Switch(我仅列出中低阶的机种,. 3560、2975、2960S、2960、2928、2360、2350从122-37.SE开始支持LLDP(Link ....在作为网关的三层交换机上用display arp查ip和mac和端口的对应关系,如果不是直接接在这台上的,到下层交换机上用display mac-address命令查看mac表找到端口 发布者:全栈程序员栈长
查看各个监听端口。在 netstat 显示的服务列表中的 PID 和 ps aux 进程列表中的是一样的。...如果你看到一台服务器上有三四十个监听端口开着,那还是做个记录,回头有空的时候清理一下,重新组织一下服务器。...服务器是几核的? 是否有某些 CPU 核负载过多了? 服务器最大的负载来自什么地方? 平均负载是多少?...time on busy servers */ $ netstat$ ss -s 你的中断请求是否是均衡地分配给 CPU 处理,还是会有某个 CPU 的核因为大量的网络中断请求或者 RAID 请求而过载了...看看是否有硬件错误或文件系统错误? 分析是否能将这些错误事件和前面发现的疑点进行时间上的比对。
sql注入类 sql注入配合万能密钥进后台 在内网中扫描到网络运维资料管理系统,在登录账号位置加上单引号后报错,于是判断可能存在sql注入, 试着闭合后边sql语句,而使用注释则会失败(access数据库无注释符...如:下列搜索框中输入单引号报错, 查版本, 2%' and 1=(select @@version) and '%'=' 1' and 1=(select @@version) -- 查当前数据库, 2%...where xtype='U' ) -- 然后利用闭合配合注释去进行搜索框注入, 还要注意前端长度限制,如果注入语句无法输入,可以修改前端maxlength元素, 也可以保存请求包配合sqlmap的-r参数进行注入...发现成功上传了脚本文件,连接webshell, 查看是system权限, 然后上传Cobalt Strike的payload并运行,用Mimikatz获取密码, 成功读取密码, 然后上传了一个aspx大马...(有通过注册表查看rdp端口的功能),发现管理员把3389端口改成了1111,连接即可登录, 并且在桌面找到缴费系统的内网IP,尝试使用Mimikatz获取的密码进行登录,成功登录。
[p2.png] 问题排查 这种情况,先去看了机器的各项指标,如CPU、网络情况等等,看看是否有异常,确认是否被其他指标影响了。但看了一圈下来,发现新机器的各项指标甚至还优于老机器。...既然HTTP请求变慢,就想到看看是请求的哪个环节变慢了,用如下的命令来测试下,域名我用百度的域名来代替: curl -o /dev/null -s -w %{time_namelookup}::%{time_connect...}::%{time_total}"\n" http://www.baidu.com 这里的各个参数代表含义(还有一些其他参数也可用): time_total 总时间,按秒计。...hostLookupDNSFiles // DNS优先 hostLookupFiles // 只查文件 hostLookupDNS...(DNS默认端口)的包,发现是有流量的,然后修改/etc/resolv.conf配置,去掉127.0.0.1,发现抓不到127.0.0.1 53端口的流量了,这证明和代码逻辑一致,本猜想不成立。
passwd——#cat /etc/passwd,看看是否有对应用户的信息 在home目录下查看是否有该用户的文件 (CentOS下创建好用户之后会自动生成对应用户的家目录) ---- 解读一下...有些文件的路径太长难记忆,比如网卡配置文件,此时可以在浅层目录中创建一个快捷方式(软连接),方便使用 #ln -s 源路径 新路径 (此处没有写新路径,所有就直接添加到当前路径下了) 注意:...---- 补充: -s 是symbolic v.n.象征的符号的 也可以记忆为soft柔软的——软链接 1. ln的链接有软链接和硬链接两种: 软链接就是#ln -s,它只会在你选定的位置上生成一个文件的镜像...,不会占用磁盘空间——也就是快捷方式 硬链接#ln,没有参数-s, 它会在你选定的位置上生成一个和源文件大小相同的文件——也就是拷贝 2. ln命令,会保证每一处链接文件的同步性,无论是软链接还是硬链接...服务的服务名为sshd ---- 注意: 端口号的范围:0-65535(2^16) 且不能使用别的服务已经占用的端口号(不要随意改端口号,防火墙默认认可22,修改后可能无法通过防火墙,不过,可以关闭防火墙
27017 对数据库进行增、删、改、查等高危操作。...修改配置文件或在启动时选择 -nohttpinterface 参数 nohttpinterface = false。...(3) 限制绑定 IP 启动时加入参数 --bind_ip 127.0.0.1 或在 /etc/mongodb.conf 文件中添加以下内容 bind_ip = 127.0.0.1 二、Redis 未授权访问漏洞...检测方法 先用 nmap 扫描查看端口开放情况看是否开放 JBOSS 端口。...再使用漏洞测试工具测试 jmx 组件存在情况通过访问 http://ip:jboss端口/ 看是否能进入 jmx-console 和 web-console 。
诸如项目部署等过程当中往往会遇到端口号冲突问题,Windows和Linux分别如何快速锁定占用端口号的进程?...Windows 1.查看各端口占用进程的 PID 打开 cmd 命令窗口,输入 netstat -aon(可以指定要查询的端口:netstat -aon|findstr 要查的端口号) ?...2.锁定进程 用 PID 查看占用端口号的进程是哪个程序 继续输入命令 tasklist|findstr "要查的PID" ? 也可以打开任务管理器安排它 ?...netstat 参数选项 -a或--all:显示所有连线中的Socket; -A或--:列出该网络类型连线中的相关地址; -c或--continuous:持续列出网络状态;...-p或--programs:显示正在使用Socket的程序识别码和程序名称; -r或--route:显示Routing Table; -s或--statistice:显示网络工作信息统计表; -t
如果想知道如何手动清理,请移步至: https://mp.weixin.qq.com/s/DRbGeVOcJ8m9xo7Gin45kQ 修复建议: 1.根据漏洞来定,如果是程序漏洞修复即可 2.上传漏洞...文件找不到可查看网络连接,对可疑外网IP进行威胁情报查询 ? ?...ps:建议直接输入路径进入 如果还是没有结果,可在虚拟机快照中,对文件进行分析(注意运行时请使用手机热点网络,与单位网络隔离) 通过火绒剑对进程动作进行捕获 ? 网络中可以查看,实时连接IP服务 ?...Linux应急思路篇 对于攻击者来说,不管他如何隐藏,总要走流量。我们主要针对流量进行分析即可。 netstat -anlpt 查看是否存在恶意流量(通过威胁情报进行判定是否为恶意域名) ?...如果上面没有业务,也没开放高危端口,可查看是否为弱口令登录,查看登录日志。 last为登录成功日志 ? lastb为登录失败,可查看是否爆破 ?
/start-cluster.sh 查看是否启动成功: ? 命令:jps 三、centos6开放flink默认端口(8081) 修改iptables ?...启动一个终端(端口随意):nc -lk 8888 打开第二个会话: ?...kingyifan/flink/flink-1.7.2/log 命令:tail -f flink-root-taskexecutor-5-localhost.localdomain.out(不一定是这个日志文件...他在几算多少秒内出现了多少次 我们随便输几个1测试一下 ? 发现他已经几算出来了。 ? 我们也可以看一下Running Jobs ? 终、、 ---- 以上linux安装以及部署flink。...---- 网站名称:KingYiFan’S Blog 网站地址:http://blog.cnbuilder.cn 网站描述:年少是你未醒的梦话,风华是燃烬的彼岸花。
第一,看看参数和数据能不能支持关键字,例如Java中的保留关键字等等;第二就是参数和数据都为空,看看是否做了判断;第三,参数多和少,例如有两个参数的接口,需要设计一个包含三个参数的用例,一个只有一个参数的用例...; 6) 代码覆盖率是否达到要求; 7) 性能指标是否满足要求; 8) 安全指标是否满足要求; 五 接口产生的垃圾数据如何清理 造数据和数据清理,需用Python连数据库了,做增删改查的操作测试用例前置操作...,然后用tail命令查看部署日志; 4.检查服务器防火墙是否关闭,如果因为安全或者权限问题不能关闭,需要找运维进行策略配置,开放对应的ip和端口号; 5.检查你的客户端(浏览器/测试工具),是否设置了网络代理...,网络代理可能会造成请求失败; 6.检查操作系统的host文件,是否绑定了一个错误的ip映射; 2)接口有响应但是返回了错误的状态码 有些时候接口会返回一些错误的HTTP状态码,需要根据不同的状态码来确定具体的原因...以上 That‘s all 更多系列文章
今天,分享一下如何检查linux系统是否遭受了入侵?...{print $1}' /etc/shadow 3)检查异常进程 注意UID为0的进程 使用ps -ef命令查看进程 察看该进程所打开的端口和文件 [root@bastion-IDC ~]# lsof...–t 文件名 6)检查RPM的完整性 [root@bastion-IDC ~]# rpm -Va #注意相关的/sbin,/bin,/usr/sbin,/usr/bin 输出格式说明: S – File...然后想用netstat看下网络连接情况,结果居然查不到任何对外的网络连接,于是开始怀疑命令被修改过了。...2)将可疑文件设为不可执行,用chattr +ai将几个重要目录改为不可添加和修改,再将进程杀了,再重启 3)chkrootkit之类的工具查一下 对于以上这些梳理的木马排查的思路要清楚,排查手段要熟练
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
