一次linux应急处置小方案
之前又个客户说自己的linux机器有,活动链接数大,CPU高的特点。
客户初步处置:断网,下线,重启。
我给他们提了个处置步骤,结果就没下文了。。。。。
建议如下:
创新互联主要为客户提供服务项目涵盖了网页视觉设计、VI标志设计、全网营销推广、网站程序开发、HTML5响应式成都网站建设、手机网站制作、微商城、网站托管及成都网站维护、WEB系统开发、域名注册、国内外服务器租用、视频、平面设计、SEO优化排名。设计、前端、后端三个建站步骤的完善服务体系。一人跟踪测试的建站服务标准。已经为隧道混凝土搅拌车行业客户提供了网站维护服务。
(0)查看历史命令,最近打开文件。
(1)确认服务器日常应用,应用进程名,文件路径,进程开放端口。
(2)查看活跃进程,进程打开文件,内存字符串信息,特权用户。
(3)查看网络链接,建立链接的网络情况,在监听的网络情况
(4)查看用户登陆情况,近期登陆日志,登陆用户名,登陆IP。
(5)查看开机启动,病毒为了能多次启动驻留系统,常常会有自启动。
(6)计划任务,自启动手法的一种,多见于挖矿类病毒。
(7)关键目录排查,系统tmp目录,var等病毒长驻路径下的可疑文件排查。
(8)开放端口,检查开放端口,看是否有异常端口,常常会用于病毒的通信。
(9)安全日志,系统日志,应用日志等查询,从日志文件中查找异常情况。
(10)全盘文件导出,使用杀毒软件扫描查杀。
(11)使用md5值对比,将文件导出计算hash和正常的系统文件hash对比,检查出有问题的文件。
(12)审核应用,补丁情况,查看是否由漏洞***导致服务器问题,查找其它可能的***痕迹。
(13)审核帐户信息,已有帐户情况,特权帐户。
(14)rootkit的检查,一些恶意代码使用进程等隐藏手段不易检出,使用rootkit检查工具。
(14)获取到异常样本后的样本详细分析。
网页标题:一次linux应急处置小方案
网址分享:http://scyanting.com/article/iiheig.html