基本蓝方思路(感谢师傅h3h3da)

1.查看日志以及防守设备的日志,看看攻击情况 (/在探测(是否有风险)/已经入侵成功) 探测中有风险就直接ban ip
2.进来的话看日志判断动了哪些资源 判断目的 提交报告 隔离服务环境 看payload判断漏洞位置 清理shell 及时修复 及时提交报告
3.根据攻击者ip 做一些溯源 比如威胁感知平台查查whois 有些攻击者如果使用自己的vps ,看看上面是否有blog服务 有blog就可以进行找
4,搞进来了可以不立马杀死 投放诱饵文件 尝试反杀攻击者 根据攻击者特征(浏览器 os版本如果有洞就反杀) 尽管反杀不了,只要写成报告 提交 也能拿不少加分

linux常见命令

查看系统状态
top命令(常用于挖矿应急响应)
7FF2F6AE-1DAE-4050-A06F-87E2464B8D4C.png
ps 查看进程的瞬间信息

-a 程序 -e 环境变了 -f 显示UUID PPIP C与STIME

查看非root运行的进程
ps -U root -u root -N

查看root运行的进程 ps -u root
查看有没有奇怪进程
ps -aef| grep inetd

检测隐藏进程
ps -ef | awk '{print}' | sort -n | uniq >1
ls /proc | sort -n | uniq >2
检测系统守护进程
ls /etc/crontab
查看当前登陆
用户命令
who
w 查看系统信息 想知道某一时刻用户的行为
查看当前登陆用户的ip信息
who -m
4CC260C8-73CE-4858-9977-11C3E97B362F.png
查看近期用户登陆情况
DE6E251A-019A-4F9C-BFA1-9F980B96819A.png
history 5查看历史命令
查看进程树是否所有异常进程存在一个父进程 判断进程的父子关系
E849F0DA-C3E3-42AF-9460-17775B4B6505.png
netstat 查看网络状态 列出本机所有连接和接听的接口
CF5ADCA6-399D-49AC-8EF8-61021B453E9C.png
lsof -i 谁在使用端口
65BEC2C5-D2BE-404C-9840-DA925A8B501A.png

也可以 lsof -i udp
lsof -i tcp
文件排查命令
whereis filename
ls -la查看包含隐藏文件的
ls -al 查看文件创建时间
查找最近24小时内修改过的文件
find ./ -mtime 0
15650B67-8E36-48E0-8949-93C80ABC1CB9.png
E46BF3B9-D6EC-42FF-B944-12480211BB1F.png
tar 命令(tar命令在ctf线下也比较常见,所以我简单总结下)
tar -cvf backup_log.tar ./*.log 打包当前目录所有log文件
然后 tar -xvf backup_log.tar 解压
tar -cvf 文件名 然后目录
6FB6D7D0-8C36-47C0-B89B-7180499E6F05.png
解压也是 tar -xvf 文件名