【干货】linux系统信息收集 ----检测是否被恶意程序执行了危险性命令
这些实战完全可以练习以下命令,已经找到需要观察的交互点,真实工作的时候,把数据都导入到自己U盘或者工作站内。
在kali 或者centos下训练都一样,关于kali教学,这里推荐掌控安全团队的课程:掌控安全学院/渗透1群 831848455 这里获取官方信息。
笔记整理源于以下部分: 如果您是小白要小心这些笔记的文章,请不要绕过原创。笔记目的是备份与查询而已,心里因明白这个道理,非教学看不明白理所当然。
原创视频有更精彩的内容,比如您将听到各种信息的来源与收集方式,接触到更前沿,更迅速的简洁教学。直面体验到,作为一个黑客真正应该拥有的东西。
Unit 2: Linux/Unix Acquisition 2.1 Linux/Unix Acquistion Acquisition Preparation and System Information Acquisition
Collect information from a live system demo
目标实验机为 ubuntu 系统
查看系统时间 data
查看系统运行了多久 uptime
查看系统信息和文件系统 uname -a
查看ip地址和网卡工作模式 ifconfig
查看正在运行的进程 ps -eaf | more
查看TCP和UDP网络连接 netstat -at 这里的命令给出的是查TCP的,但是UDP也要查,这里不再演示。
查看使用IPv4的进程 lsof -i 4
查看使用PID号的进程打开了哪些文件 lsof -p 2718
查看链接数小于1的文件 lsof +L1 lsof +L/-L 打开或关闭文件的链接数 +L1表示 查看小于1的链接数
查看当前登录用户信息 w 或 who 或 users
查看命令passwd的位置,它是设置UID的命令 which passwd
查看passwd文件 ls -l /usr/bin/passwd S表示所有人都可以自己给自己修改密码 所以是S不是,执行的X
这个设置UID的命令非常的危险,对应的还有一个设置GID的也是一样。所以,我们务必要查看系统中是否有设置这些的命令程序存在,它们想修改密码。
find / -uid 0 -perm -4000 2>/dev/null UID是4000 GID是2000 0是root权限 2>/dev/null 2表示错误的 1表示正确的 将错误的信息直接删除,null表示空
【干货】linux系统信息收集 ----检测是否被恶意程序执行了危险性命令的更多相关文章
- Kali Linux信息收集工具
http://www.freebuf.com/column/150118.html 可能大部分渗透测试者都想成为网络空间的007,而我个人的目标却是成为Q先生! 看过007系列电影的朋友,应该都还记得 ...
- Kali Linux信息收集工具全集
001:0trace.tcptraceroute.traceroute 描述:进行路径枚举时,传统基于ICMP协议的探测工具经常会受到屏蔽,造成探测结果不够全面的问题.与此相对基于TCP协议的探测,则 ...
- Kali Linux信息收集工具全
可能大部分渗透测试者都想成为网络空间的007,而我个人的目标却是成为Q先生! 看过007系列电影的朋友,应该都还记得那个戏份不多但一直都在的Q先生(由于年级太长目前已经退休).他为007发明了众多神奇 ...
- Linux主机入侵检测
检查系统信息.用户账号信息 ● 操作系统信息 cat /proc/version 用户信息 用户信息文件 /etc/passwd root:x:0:0:root:/root:/bin/bash 用户名 ...
- Linux系统信息查看命令大全
系统# uname -a # 查看内核/操作系统/CPU信息# head -n 1 /etc/issue # 查看操作系统版本# cat /proc/cpuinfo # 查看CPU信息# hostna ...
- Linux后门入侵检测工具,附bash漏洞解决方法[转载]
转自:http://blog.jobbole.com/77663/ 官网 ClamAV杀毒软件介绍 ClamAV是一个在命令行下查毒软件,因为它不将杀毒作为主要功能,默认只能查出您计算机内的病毒,但是 ...
- Android手机安全软件的恶意程序检测靠谱吗--LBE安全大师、腾讯手机管家、360手机卫士恶意软件检测方法研究
转载请注明出处,谢谢. Android系统开放,各大论坛活跃,应用程序分发渠道广泛,这也就为恶意软件的传播提供了良好的环境.好在手机上安装了安全软件,是否能有效的检测出恶意软件呢?下边针对LBE安全大 ...
- linux系统状态检测命令
1.ifconfig命令 ifconfig命令用于获取网卡配置与网络状态等信息,格式为“ifconfig [网络设备] [参数]”. 使用ifconfig命令来查看本机当前的网卡配置与网络状态等信息时 ...
- Linux后门入侵检测工具
一.rootkit简介 rootkit是Linux平台下最常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现 ...
随机推荐
- 《Linux内核分析》 第一节 计算机是如何工作的
第一节 计算机是如何工作的 张嘉琪 原创作品转载请注明出处 <Linux内核分析>MOOC课程http://mooc.study.163.com/course/USTC-100002900 ...
- 小组成员的github地址
袁颖https://github.com/joanyy/test 魏晓 https://github.com/weixiaohaobaobao/test 张晓磊 https://github.com/ ...
- 团队工作总结及自评 & 补上来的用户调研
http://www.cnblogs.com/case1/ 让同学代发了,辛苦点跳转一下~
- 四则运算ver.mk2
package size; import java.awt.EventQueue; import javax.swing.JFrame; import javax.swing.JMenuBar; im ...
- jenkins配置过程中踩过的一些坑
1,编译通过之后,想要将编译好的war包放到远程服务器上,并解压 unzipBus.sh的脚本如下: #!/bin/bash jar -xvf bus.war 编译后报错:jar:Command no ...
- Delphi cxGrid加行号
procedure SetRowNumber(var ASender: TcxGridTableView; AViewInfo: TcxCustomGridIndicatorItemViewInfo; ...
- WP-PostViews使用
1.在后台安装次插件 2.获取多少天之内的访问排名最高的记录 2.1 添加相应方法代码到wp-postviews.php文件中,据体代码可以网上找(本人自己可以在自己本机的例子查看到),这里只是记录大 ...
- 【设计模式】—— 代理模式Proxy
前言:[模式总览]——————————by xingoo 模式意图 代理模式为其他的对象增加一个代理对象,进行访问控制.从而避免直接访问一个对象,造成效率或者安全性上的降低. 应用场景 1 远程代理, ...
- 【题解】第n小的数
题目描述 给你一些整数,你要找出第n小的数,也就是说把数据按升序排序后,输出下标是n的那个数,注意,我们规定下标是从0开始的.但是我们给出的数据的格式比较奇怪,我们是按区间给出,例如:给出两个区间:[ ...
- Voltage Keepsake CodeForces - 801C(思维)
题意: 有n台机器,第i台机器每个单位时间消耗ai的功率,初始有bi的功率储备,有一个充电器每个单位时间充p单位的功率 问经过多长时间才能有一个功率位0的机器,如果能够无限使用输出-1: 解析: 时间 ...