答案不一定稳对,自己和别人讨论加查资料的。说话语速慢点,遇见不知道的就说没遇见过这种情况,但是遇见过类似情况+举例子+上报给高级人员(有思路说思路)。不知道的话统一说先隔离开,上杀毒软件,然后查可疑用户(隐藏,影子),查日志,查进程,临时目录,查告警最近上传的文件,上报高级人员,反正给出方法别愣住
1、多台攻击机3386爆破攻击,溯源到它们ip发现一台dns服务器,这台服务器还可能是什么服务器?
傀儡机,攻击机,代理服务器
2、进程由于文件挂载被隐藏了,该怎么办?(上报啊。文件都进来了,我就是个猴子。)
文件挂载是,要是我电脑被别人远程挂载了,他可以翻我电脑上被挂载的文件系统中的文件,要是权限高还能对我的文件增删查改,也能复制到他的电脑上。
以下来自大佬回复(我去呢真的好厉害好厉害希望我以后也能这么厉害):
1、mount |grep proc直接检索出来,看到后面带pid的就是被隐藏的进程,直接用umount /proc/pid号就能取消挂载,或者是用linuxcheck脚本全方面查看。
2、用unhide命令也能查看到因为挂载被隐藏的pid,就是检索到的信息比较多。cat /proc/$$/mount|grep proc命令也能查看,monut命令查询的原理就是查看这个文件,在mount命令被恶意替换的场景可以直接cat查看就行,如果cat命令都被替换了,直接上busybox。
3、如果问,为什么pid看不到,基本上都是top命令,或者ps命令啥也没有,这一块儿的定位直接查看网络连接netstat -ano |grep -基本上能检索到被隐藏的pid,无论是扫描器还是c2,基本的网络通信还是存在,直接从网络排查。
4、排查前先确认环境,是虚拟机,还是docker还是说k8s集群,根据实际情况对安全风险进行定级。关于服务,正常情况下是不会做任何的进程隐藏的,在攻防场景下,直接取消挂载,终止进程然后删除文件就完事儿。