记一次面试经历linux应急响应

1.某用户系统被入侵。用户在服务器上服务器c.jsp和nc.exe。操作系统为CentOS。当你赶到现场是，从上网行为管理上看到服务器又大量外联包。用户希望检测入侵来源，入侵手段，影响范围，并查杀本地恶意程序。请列出完整思路与步骤。

解题思路:排查进程，寻找路径，杀掉进程，删除文件，查看日志及其他易藏匿病毒木马执行的区域(如corntab) 查找残留 清理残留 查看是否存在其他异常 。
第一步:查看系统CPU是否异常使用top命令
第二步:是否存在可疑进程使用ps -aux命令
第三步:发现可疑进程文件c.jsp与nc.exe
第四步:杀掉进程文件kill -9 进程PID
第五步:监控与目标IP通信的进程
命令如下:while true; do netstat -antp | grep [ip]; done
第六步:mv备份样本rm删除文件
第七步:corntab -e查看计划任务
ls -lrt，显示一下日志有多少条
cd logs，进入logs文件夹
ls查询每天的的文件
tail -f localhost_access_log.2018-12-11.txt(当前时间)祥本当天日志
第八步:检查是否存在可疑定时任务crontab-l
检查还有可疑服务不service--status-all
检查是否存在病毒守护进程lsof-p[pid]
第九步:分析备份祥本追溯IP可在沙箱分析

注：本人比较菜！

原文始发于微信公众号（星辰信安小屋）：记一次面试经历linux应急响应