第一步:获取信息
- 下线服务器之后从DNS服务器、防火墙、态势感知平台等地方获取到攻击事件详细信息
- 根据上传来源的IP/域名,在威胁情报平台查询确定木马类型
- 获取异常进程的pid
CPU占用:
top -c -o %CPU
ps -eo pid,ppid,%mem,%cpu,cmd --sort=-%cpu | head -n 5
内存占用:
top -c -o %MEM
ps -eo pid,ppid,%mem,%cpu,cmd --sort=-%mem | head -n 5
网络占用:
安装后使用nethogs或者jnettop进行查询
根据进程名或字符串查询:
pidof "name"
ps -aux | grep "name"
ps -ef | grep "name" | grep -v grep | awk '{print $2}'
pgrep -f "name"
- 根据pid查询详细信息(当查询不到时有可能是/proc/pid隐藏了)
lsof -p pid
pwdx pid
systemctl status pid
cat /proc/pid/maps
ls -al /proc/pid/exe
ps H -T -p pid
ps -aLf pid
pstree -agplU(推荐使用)
ps -eo pid,lstart,etime,cmd | grep <pid>
stat xxx.xx
ls -al xxx.xx
使用SCP/Xshell等将样本移出主机,计算哈希值后到威胁情报平台中去搜索
certutil -hashfile 文件 MD5
【查找子进程】
ps ajfx
systemctl status
【杀死进程】
kill -9 pid (这样子是杀不死子进程的!!!)
kill -9 -pid (杀掉进程组)
# 查看文件占用,解除占用后删除
lsof xxxx.xx
# 移除 i, a 属性
chattr -ia file.sh
# 查看是否移除成功
lsattr file.sh
# 移除文件
rm -rf file.sh
# 奇怪文件名无法删除,先查inode再删除
ls -li xxxx.xx
find ./* -inum 12327526 -delete
find ./ -inum 12327526 -exec rm {} \;
find ./* -inum 12327526 -exec rm -i {} \;
find ./* -inum 12327526 -exec rm -f {} \;
find ./* -inum 12327526 |xargs rm -f
rm `find ./* -inum 12327526`
# 目录挂载无法删除(Device or resource busy)
sudo lsblk -a
sudo umount /dev/sdb1
rm -rf xxxx.xx
# 浏览器查看历史记录,定位到该事件点访问的页面
# 进入虚拟机进行访问,并限制进程只允许占用一个cpu
# 查看该网页的源码和网络链接调用
# 将浏览器缓存文件进行检测(大多数是JS)
# 清除浏览数据>清除缓存文件
# 解密恶意文件查看矿池地址以及连接条件
# 上区块链网站溯源
