chkrootkit检测时,发现一个Xor.DDoS内容,内容如下...Searching for Linux.Xor.DDoS ... INFECTED: Possible Malicious Linux.Xor.DDoS installed...最后通过国外的一篇文章,解决了此问题,因为/tmp下只要有可执行文件就会看到这个误报 参考: https://blog.whsir.com/post-2471.html…

一.取证特征 1)获取进程ID 使用top命令,查看占用内存率最高的十位随机名称进程名(示例:进程名pygdykcrqf) 2)获取进程对应路径 Linux 在启动一个进程时,系统会在/proc下创建一个以 PID 命名的文件夹,在该文件夹下会有进程信息. ll /proc/xxxx 用lsof查看某个路径下的进程列表,木马文件在/usr/bin/下的文件拷贝出来备份. lsof /usr/bin/* 用pidof命令查看某个路径下进程的pid,判断有没有符合条件的木马文件: pidof /us…

昨天提到了VM中的逃逸问题,要想逃逸,首先要检测当前操作系统是否为VM,下面提供几个LINUX下的检查方法: 第一,首推facter virtual ,权限为普通用户,约定,普通用户命令提示符用$表示,root用户命令提示符用#表示,第一组为实体机的返回,第二组为虚拟机的返回: $facter virtual physical $facter virtual  vmware 第二,cat /proc/scsi/scsi,需要分析Vendor中的内容: $cat /proc/scsi/scsi A…

如果想检查 50 多台服务器是否打开了指定的端口,该怎么做,要检查所有服务器并不容易,如果你一个一个这样做,完全没有必要,因为这样你将会浪费大量的时间.为了解决这种情况,我使用 nc 命令编写了一个 shell 小脚本,它将允许我们扫描任意数量服务器给定的端口. nc(netcat)命令 #需要提前安装nc命令 yum install nc -y #检查多台机器的多个端口,可以先写2个文件,一个记录IP地址,一个记录端口. # cat server-list.txt 192.168.1.2 19…

在上篇博客(http://www.cnblogs.com/cloudapps/p/4996046.html)中,介绍了如何使用Apache的模块mod_evasive进行反DDOS攻击的设置,在这种模式中,主要预防的是对http的volume attack,然而DDOS的攻击方式,各种工具非常多,随便搜一搜就知道了,我们回过头来看看,什么叫DOS/DDOS,看看维基百科: "拒绝服务攻击(Denial of Service Attack,缩写:DoS)亦称洪水攻击,是一种网络攻击手法,其目的在于…

http://www.linuxidc.com/Linux/2014-09/106285.htm http://www.th7.cn/system/lin/201403/51652.shtml DDOS清洗和流量行为分析…

there are several procedure which include: 1. Install the packages sudo apt-get install php5 php5-gd php5-cgi php5-mysql libapache2-mod-php5 apache2 mysql-client mysql-server -y 2. Configure the mysql database password if necessary 3.edit file /etc/a…

这篇文章总结了一些我在安全工作里见到过的千奇百怪的C&C控制服务器的设计方法以及对应的侦测方法,在每个C&C控制服务先介绍黑帽部分即针对不同目的的C&C服务器设计方法,再介绍白帽部分即相关侦测办法,大家来感受一下西方的那一套.这里的白帽部分有一部分侦测方法需要一些数据和统计知识,我也顺便从原理上简单讨论了一下用数据进行安全分析的方法,从数学和数据原理上思考为什么这么做,可以当作数据科学在安全领域的一些例子学习一下. 0x00 什么是C&C服务器 C&C服务器(又称C…

给大家分享一篇关于如何检查Linux中的开放端口列表的详细介绍,首先如果你想检查远程Linux系统上的端口是否打开请点击链接浏览.如果你想检查多个远程Linux系统上的端口是否打开请点击链接浏览.如果你想检查多个远程Linux系统上的多个端口状态请点击链接浏览.但是本文帮助你检查本地系统上的开放端口列表. 在Linux中很少有用于此目的的实用程序.然而,我提供了四个最重要的Linux命令来检查这一点. 你可以使用以下四个命令来完成这个工作.这些命令是非常出名的并被Linux管理员广泛使用. ne…

Chkrootkit是一个在本地系统检查rootkit痕迹的工具,它是检查系统二进制文件是否被rootkit病毒修改的一个shell脚本. (1)centerOS安装chkrootkit 安装gcc编译环境yum install gcc gcc-c++ make -y 安装chkrootkit.tar.gz 解压后执行 #make sense 安装过程中常见报错 #make sensecc -DHAVE_LASTLOG_H -o chklastlog chklastlog.ccc -DHAVE_…