CPU 使用率の確認#
CPU 使用率を確認する目的は、どのプロセスが CPU を過剰に使用しているかを特定することです(マイニングに関連)。
メモリ使用率#
ネットワーク使用率#
外部 IP の確認#
悪意のあるサンプルの検索#
- PID を取得して悪意のあるファイルのパスを見つける
- 悪意のあるファイルを見つけた - PID
プロセス名または部分文字列から PID を取得
PID からプロセスの詳細情報を取得
スレッドの確認
ファイルから PID を見つける
プログラムの実行時間を確認#
異常プロセスの処理#
1、サーバーからサンプルをダウンロード
2、ウイルスのオンライン分析
3、プロセスの殺害
悪意のあるファイルの削除#
1、プロセスが占有しているか確認
2、a および i 属性が原因でファイルが削除できない場合
3、奇妙なファイル名が原因で削除できない場合
- inode ノードを使用して削除
- ファイルを削除
大部分の緊急事態のプロセスに必要なコマンドはこれらです。異なるイベントに対しては、いくつかの違いがあります:
拡張 1 netstat の TCP 接続状態の例#
| 状態 | タイプ | 説明 |
|---|---|---|
| LISTEN | TCP リスニングポート | リスニング状態。指定されたポートが接続を待機していることを示します。 |
| SYN_SENT | TCP 伝送制御プロトコル状態 | 接続要求が送信されました。TCP 接続が開始されたが、確認がまだ受信されていないことを示します。 |
| SYN_RECV | TCP 伝送制御プロトコル状態 | 接続要求を受信中。TCP 接続が受信され、確認を待機していることを示します。通常はサーバー上でのみ発生し、クライアントの要求を受信したことを示します。 |
| ESTABLISHED | TCP 伝送制御プロトコル状態 | TCP 接続が確立され、通信中であることを示します。 |
| FIN_WAIT1 | TCP 伝送制御プロトコル状態 | TCP 接続が閉じられ、相手方からの接続終了要求を待機していることを示します。 |
| FIN_WAIT2 | TCP 伝送制御プロトコル状態 | TCP 接続が閉じられ、相手方からの接続終了要求を待機しているか、相手方からの最終確認を受信中であることを示します。 |
| TIME_WAIT | TCP 伝送制御プロトコル状態 | TCP 接続が閉じられ、すべてのデータが転送され、すべてのパケットが処理されるのを待機していることを示します。 |
| CLOSE_WAIT | TCP 伝送制御プロトコル状態 | TCP 接続が閉じられたが、ローカルアプリケーションが接続をまだ閉じていないことを示します。 |
| LAST_ACK | TCP 伝送制御プロトコル状態 | 閉じる要求が送信され、相手方の閉じる要求を待機中であることを示します。 |
| CLOSING | TCP 伝送制御プロトコル状態 | TCP 接続が閉じる過程にあることを示します。 |
拡張 2 IP が正常かどうかの確認#
三段階:脅威インテリジェンスの確認-ドメイン登録の確認-企業の確認
微步脅威インテリジェンスでいくつかの情報を確認できます。
以下の情報も確認できます。
ドメインがあれば、登録を確認できます(国内)。
登録があれば、会社を確認できます。
その他#
GitHub - T0xst/linux: linux セキュリティチェック
Security/1earn/Security/BlueTeam/ 緊急
Blue-Team / 緊急 /linux 緊急対応マニュアル
linux 緊急対応マニュアル 1.7