zoukankan      html  css  js  c++  java
  • 【干货】linux系统信息收集 ----检测是否被恶意程序执行了危险性命令

    这些实战完全可以练习以下命令,已经找到需要观察的交互点,真实工作的时候,把数据都导入到自己U盘或者工作站内。

    在kali 或者centos下训练都一样,关于kali教学,这里推荐掌控安全团队的课程:掌控安全学院/渗透1群 831848455     这里获取官方信息。

    笔记整理源于以下部分:        如果您是小白要小心这些笔记的文章,请不要绕过原创。笔记目的是备份与查询而已,心里因明白这个道理,非教学看不明白理所当然。

    原创视频有更精彩的内容,比如您将听到各种信息的来源与收集方式,接触到更前沿,更迅速的简洁教学。直面体验到,作为一个黑客真正应该拥有的东西。

    Unit 2: Linux/Unix Acquisition 2.1 Linux/Unix Acquistion Acquisition Preparation and System Information Acquisition

    Collect information from a live system demo

    目标实验机为 ubuntu 系统      

    查看系统时间      data

    查看系统运行了多久     uptime

    查看系统信息和文件系统    uname -a

    查看ip地址和网卡工作模式    ifconfig

    查看正在运行的进程    ps -eaf | more

    查看TCP和UDP网络连接    netstat -at                  这里的命令给出的是查TCP的,但是UDP也要查,这里不再演示。

    查看使用IPv4的进程     lsof -i 4

     

    查看使用PID号的进程打开了哪些文件     lsof -p  2718

    查看链接数小于1的文件  lsof +L1                lsof +L/-L 打开或关闭文件的链接数          +L1表示 查看小于1的链接数

    查看当前登录用户信息  w   或  who 或 users  

    查看命令passwd的位置,它是设置UID的命令    which passwd

    查看passwd文件    ls -l /usr/bin/passwd     S表示所有人都可以自己给自己修改密码  所以是S不是,执行的X

     这个设置UID的命令非常的危险,对应的还有一个设置GID的也是一样。所以,我们务必要查看系统中是否有设置这些的命令程序存在,它们想修改密码。

    find / -uid 0 -perm -4000 2>/dev/null   UID是4000  GID是2000      0是root权限    2>/dev/null          2表示错误的  1表示正确的   将错误的信息直接删除,null表示空

  • 相关阅读:
    .NET:在ASP.NET中如何进行IP限制
    vim配置文件和插件
    初学Perl的感受之数据类型
    ASP.NET伪静态详解及配置
    Wayback Machine
    对单元测试的一点感悟——这是一把双刃剑
    python中使用postgres
    第三章 匿名方法
    在C#程序中使用ocx的方法
    可扩展的 “密码强度” 代码示例
  • 原文地址:https://www.cnblogs.com/sec875/p/10060697.html
Copyright © 2011-2022 走看看