如何架设一个网站,百度h5制作,python 网站开发 pdf,网站通cms答案不一定稳对#xff0c;自己和别人讨论加查资料的。说话语速慢点#xff0c;遇见不知道的就说没遇见过这种情况#xff0c;但是遇见过类似情况举例子上报给高级人员#xff08;有思路说思路#xff09;。不知道的话统一说先隔离开#xff0c;上杀毒软件#xff0c;然…答案不一定稳对自己和别人讨论加查资料的。说话语速慢点遇见不知道的就说没遇见过这种情况但是遇见过类似情况举例子上报给高级人员有思路说思路。不知道的话统一说先隔离开上杀毒软件然后查可疑用户隐藏影子查日志查进程临时目录查告警最近上传的文件上报高级人员反正给出方法别愣住
1、多台攻击机3386爆破攻击溯源到它们ip发现一台dns服务器这台服务器还可能是什么服务器
傀儡机攻击机代理服务器
2、进程由于文件挂载被隐藏了该怎么办上报啊。文件都进来了我就是个猴子。
文件挂载是要是我电脑被别人远程挂载了他可以翻我电脑上被挂载的文件系统中的文件要是权限高还能对我的文件增删查改也能复制到他的电脑上。
以下来自大佬回复我去呢真的好厉害好厉害希望我以后也能这么厉害
1、mount |grep proc直接检索出来看到后面带pid的就是被隐藏的进程直接用umount /proc/pid号就能取消挂载或者是用linuxcheck脚本全方面查看。
2、用unhide命令也能查看到因为挂载被隐藏的pid就是检索到的信息比较多。cat /proc/$$/mount|grep proc命令也能查看monut命令查询的原理就是查看这个文件在mount命令被恶意替换的场景可以直接cat查看就行如果cat命令都被替换了直接上busybox。
3、如果问为什么pid看不到基本上都是top命令或者ps命令啥也没有这一块儿的定位直接查看网络连接netstat -ano |grep -基本上能检索到被隐藏的pid无论是扫描器还是c2基本的网络通信还是存在直接从网络排查。
4、排查前先确认环境是虚拟机还是docker还是说k8s集群根据实际情况对安全风险进行定级。关于服务正常情况下是不会做任何的进程隐藏的在攻防场景下直接取消挂载终止进程然后删除文件就完事儿。
