介绍几个网络攻击中溯源的实用工具

1、Rootkit 查杀:http://www.chkrootkit.org
Rootkit是一种特殊的恶意软件,它的功能是在安装目标上隐藏自身及指定的文件、进程和网络链接等信息,比较多见到的是Rootkit一般都和木马、后门等其他恶意程序结合使用。

rootkit介绍Rootkit是一种奇特的程序,它具有隐身功能:无论静止时(作为文件存在),还是活动时,(作为进程存在),都不会被察觉。

换句话说,这种程序可能一直存在于我们的计算机中,但我们却浑然不知,这一功能正是许多人梦寐以求的——不论是计算机黑客,还是计算机取证人员。黑客可以在入侵后置入Rootkit,秘密地窥探敏感信息,或等待时机,伺机而动;取证人员也可以利用Rootkit实时监控嫌疑人员的不法行为,它不仅能搜集证据,还有利于及时采取行动!

rkhunter 查杀:http://rkhunter.sourceforge.net 中文名叫”Rootkit猎手”,

rkhunter是Linux系统平台下的一款开源入侵检测工具,具有非常全面的扫描范围,除了能够检测各种已知的rootkit特征码以外,还支持端口扫描、常用程序文件的变动情况检查。
rootkit主要有两种类型:文件级别和内核级别。
文件级别的rootkit: 一般是通过程序漏洞或者系统漏洞进入系统后,通过修改系统的重要文件来达到隐藏自己的目的。在系统遭受rootkit攻击后,合法的文件被木马程序替代,变成了外壳程序,而其内部是隐藏着的后门程序。通常容易被rootkit替换的系统程序有login、ls、ps、ifconfig、du、find、netstat等。文件级别的rootkit,对系统维护很大,目前最有效的防御方法是定期对系统重要文件的完整性进行检查,如Tripwire、aide等。
内核级rootkit: 是比文件级rootkit更高级的一种入侵方式,它可以使攻击者获得对系统底层的完全控制权,此时攻击者可以修改系统内核,进而截获运行程序向内核提交的命令,并将其重定向到入侵者所选择的程序并运行此程序。
内核级rootkit主要依附在内核上,它并不对系统文件做任何修改。以防范为主。
使用方法:
wget https://nchc.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.4/rkhunter-1.4.4.tar.gz
tar -zxvfrkhunter-1.4.4.tar.gz
cdrkhunter-1.4.4
./installer.sh --install
rkhunter -c

CSDN使用教程 https://www.cnblogs.com/cp-miao/p/6141025.html

Clamav 查杀:http://www.clamav.net/download.html

Clam AntiVirus是一个Linux系统上使用的反病毒软件包。主要应用于邮件服务器,采用多线程后台操作,可以自动升级病毒库。
yum安装

yum install -y clamav
freshclam 更新病毒库

clamscan -r / --bell -i 扫描所有文件并显示有问题文件的结果
clamscan -r / 扫面素有文件并显示所有文件的扫面结果
clamsacn -r --remove / 扫面并清除
#更新病毒库
freshclam
#扫描方法
clamscan -r/etc --max-dir-recursion=5-l/root/etcclamav.log
clamscan -r/bin --max-dir-recursion=5-l/root/binclamav.log
clamscan -r/usr --max-dir-recursion=5-l/root/usrclamav.log
#扫描并杀毒
clamscan -r --remove/usr/bin/bsd-port
clamscan -r --remove/usr/bin/
clamscan -r–remove/usr/local/zabbix/sbin
#查看日志发现
cat/root/usrclamav.log |grep FOUND

webshell 查杀
linux 版:

河马 webshell 查杀:
http://www.shellpub.com

深信服 Webshell 网站后门检测工具:
http://edr.sangfor.com.cn/backdoor_detection.html

RPM check 检查:
系统完整性可以通过 rpm 自带的 -Va 来校验检查所有的 rpm 软件包,查看哪些命令是否被替换了:
./rpm -Va > rpm.log

如果一切均校验正常将不会产生任何输出,如果有不一致的地方,就会显示出来,输出格式是 8 位长字符串,每个字符都用以表示文件与 RPM 数据库中一种属性的比较结果 ,如果是. (点) 则表示测试通过。

如果命令被替换了,如果还原回来:
文件提取还原案例:

rpm -qf /bin/ls 查询ls命令属于哪个软件包

mv /bin/ls /tmp 先把 ls 转移到 tmp 目录下,造成 ls 命令丢失的假象

rpm2cpio /mnt/cdrom/Packages/coreutils-8.4-19.el6.i686.rpm | cpio -idv ./bin/ls 提取 rpm 包中 ls 命令到当前目录的 /bin/ls 下

cp /root/bin/ls /bin/ 把 ls 命令复制到 /bin/ 目录 修复文件丢失

介绍几个网络攻击中溯源的实用工具相关推荐

  1. ssis工具_SSIS中的DTExec实用工具概述

    ssis工具 DTExec is a tool used to configure and execute SQL Server Integration Services (SSIS) package ...

  2. pc工具不支持stb的加密方式_那些工作中常用的实用工具

    DESIGN 古人云:工欲善其事,必先利其器.俗话说:巧妇难为无米之炊.两句话都讲的是,做专业的事,要有专业的工具,保证品质的同时呢,又能提高生产效率.作为一名设计师,同样需要专业的工具输出我们的产品 ...

  3. SQL Server中的bcp实用工具(批量复制程序)简介

    介绍 (Introduction) The Bulk copy program aka bcp is the console application used to export and import ...

  4. 云脉文档管理系统,工作中的实用工具

    对于办公人员来说,每天工作中都在不停地产生大量纸质文件,例如各种合同.票据.杂乱的笔记等等.在这个场景下,云脉推出了文档管理系统. 在文字录入方面,采用了先进的OCR文档识别技术,利用光学设备(照相机 ...

  5. UI设计中常用的抠图工具特点对比|优漫动游

    UI设计师必学哪些技能?抠图是一个设计师必不可少的技能,不同抠图工具怎么使用?比较常见的抠图方法有钢笔.魔棒.快速选取.通道等.不同的图需要不同的方法进行抠图,每种抠图方法也各有其优点和不足,接下来优 ...

  6. windows installer清理实用工具

    今天编译了一个程序,一个Windows Service卸载命令写错了,导致这个程序不能正常卸载. 只好手动卸载这个Windows Service,之后再卸载程序,依然不能卸载.最后只好使用MSICUU ...

  7. Unix实用工具教程:《sed与awk》修订第三版清晰版

    为什么80%的码农都做不了架构师?>>>    Unix实用工具教程:<sed与awk>修订第三版清晰版 本书介绍了一组名字奇特的Unix实用工具sed和awk,这组实用 ...

  8. rs 实用工具 (rs.exe) (SSRS)SQL server report service

    http://msdn.microsoft.com/zh-cn/library/ms162839.aspx rs 实用工具 (rs.exe) (SSRS) 其他版本 SQL Server 2008 R ...

  9. 好代码是管出来的——.Net中的代码规范工具及使用

    上一篇文章好代码是管出来的--C#的代码规范介绍了编码标准中一些常用的工具,本篇就具体来介绍如何使用它们来完成代码管理. 本文主要内容有: Roslyn简介 开发基于Roslyn的代码分析器 常用的基 ...

最新文章

  1. 谷歌BERT预训练源码解析(三):训练过程
  2. windbg检测句柄泄露(定位到具体代码)
  3. pm2 start 带参数_3款有海景天窗的国产SUV,最适合带女朋友看星星,首付3万拿下...
  4. 用c语言计算2的n次方,计算2的N次方........有什么错吗?
  5. 网商微信实名认证FAQ
  6. 开发本无趣,看 Unity 如何为其绽放精彩!
  7. 练习--第一次课(运算if while 字符编码)
  8. 乳化液稳定剂php,乳化液稳定剂PHP对小于0.1mm煤泥浮选的影响
  9. 进阶 | 产品失效模式与效益分析(DFMEA)的实际应用
  10. 训练一个图像分类器demo in PyTorch【学习笔记】
  11. java lockmodetype_java-org.hibernate.lockmode.pessimistic_write的行为
  12. 为什么不建议你吃精致碳水,这里有你需要的答案
  13. cad在线转换_超强在线转换工具,打开就能转换
  14. Word中无法使用“粘贴”快捷键
  15. Springboot+caffeine 实现两级缓存
  16. 判断是pc还是移动端浏览器
  17. 君子签电子合同为供应链行业赋能,实现企业降本增效
  18. spring事务的失效
  19. virtualbox安装mac amd芯片
  20. 看得多 记得少 亡羊补牢 不晚不晚

热门文章

  1. 浅析磁传感器HALL、AMR、GMR、TMR技术(转载)
  2. 【转帖】今天看到一篇有意思的文章:程序员的十楼层。看看自己在第几层
  3. Interbrand品牌评估法评介
  4. 阿里三面:java给手机发送验证码
  5. 在龙芯3B1500上编译安装ICESTORM (open source platform for lattice ICE40 serial FPGA)
  6. Java基础知识 21(Set集合,HashSet集合以及它的三种遍历方式(迭代器,增强for循环,forEach),LinkedHashSet集合,TreeSet集合(自然排序法,比较器排序法))
  7. 求助:笔记本连接手机热点有限的访问权限
  8. 信息管理毕设 基于SSM的停车位短租网站(含源码+论文)
  9. 点九图完全解析-附官方工具
  10. react 父子组件传值校验 设置默认值