溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
之前又個客戶說自己的linux機器有,活動鏈接數大,CPU高的特點。
客戶初步處置:斷網,下線,重啟。
我給他們提了個處置步驟,結果就沒下文了。。。。。建議如下:
(0)查看歷史命令,最近打開文件。
(1)確認服務器日常應用,應用進程名,文件路徑,進程開放端口。
(2)查看活躍進程,進程打開文件,內存字符串信息,特權用戶。
(3)查看網絡鏈接,建立鏈接的網絡情況,在監聽的網絡情況
(4)查看用戶登陸情況,近期登陸日志,登陸用戶名,登陸IP。
(5)查看開機啟動,病毒為了能多次啟動駐留系統,常常會有自啟動。
(6)計劃任務,自啟動手法的一種,多見于挖礦類病毒。
(7)關鍵目錄排查,系統tmp目錄,var等病毒長駐路徑下的可疑文件排查。
(8)開放端口,檢查開放端口,看是否有異常端口,常常會用于病毒的通信。
(9)安全日志,系統日志,應用日志等查詢,從日志文件中查找異常情況。
(10)全盤文件導出,使用殺毒軟件掃描查殺。
(11)使用md5值對比,將文件導出計算hash和正常的系統文件hash對比,檢查出有問題的文件。
(12)審核應用,補丁情況,查看是否由漏洞***導致服務器問題,查找其它可能的***痕跡。
(13)審核帳戶信息,已有帳戶情況,特權帳戶。
(14)rootkit的檢查,一些惡意代碼使用進程等隱藏手段不易檢出,使用rootkit檢查工具。
(14)獲取到異常樣本后的樣本詳細分析。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
