通常系统中木马或者病毒后会有各种各样的特征
异常特征:
1.网络流量
2.异常进程
3.消耗资源,如占用CPU、内存、硬盘读写
针对异常,使用适当的命令进行排查。这里以网络接口为例流量为例
1、查看通信端口
查找异常通信的端口、IP,并记录PID和program name
netstat -ano
netstat -tnpl
掌握lsof、ps命令
2、确定进程路径
Linux在启动一个进程时,系统会在/proc下创建一个以PID命名的文件夹,在该文件夹下会有我们的进程的信息,其中包括一个名为exe的文件即记录了绝对路径,通过ll或ls –l命令即可查看。
ls -lha /proc/PID
cwd符号链接的是进程运行目录;
exe符号连接就是执行程序的绝对路径;
cmdline就是程序运行时输入的命令行命令;
environ记录了进程运行时的环境变量;
fd目录下是进程打开或使用的文件的符号连接。
(1)获取进程的pid,然后使用命令ls -l /proc/${pid},这个命令可以列出该进程的启动位置。
(2)/usr/sbin/lsof | grep ${进程名称} 这个命令也能列出进程的启动位置。
3、杀死进程
kill -9 PID
这个版本是我自己的一些思考,不全后续会不断补充。