之前又个客户说自己的linux机器有,活动链接数大,CPU高的特点。
客户初步处置:断网,下线,重启。
我给他们提了个处置步骤,结果就没下文了。。。。。建议如下:
(0)查看历史命令,最近打开文件。
(1)确认服务器日常应用,应用进程名,文件路径,进程开放端口。
(2)查看活跃进程,进程打开文件,内存字符串信息,特权用户。
(3)查看网络链接,建立链接的网络情况,在监听的网络情况
(4)查看用户登陆情况,近期登陆日志,登陆用户名,登陆IP。
(5)查看开机启动,病毒为了能多次启动驻留系统,常常会有自启动。
(6)计划任务,自启动手法的一种,多见于挖矿类病毒。
(7)关键目录排查,系统tmp目录,var等病毒长驻路径下的可疑文件排查。
(8)开放端口,检查开放端口,看是否有异常端口,常常会用于病毒的通信。
(9)安全日志,系统日志,应用日志等查询,从日志文件中查找异常情况。
(10)全盘文件导出,使用杀毒软件扫描查杀。
(11)使用md5值对比,将文件导出计算hash和正常的系统文件hash对比,检查出有问题的文件。
(12)审核应用,补丁情况,查看是否由漏洞***导致服务器问题,查找其它可能的***痕迹。
(13)审核帐户信息,已有帐户情况,特权帐户。
(14)rootkit的检查,一些恶意代码使用进程等隐藏手段不易检出,使用rootkit检查工具。
(14)获取到异常样本后的样本详细分析。
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。
