ctf线下防御攻略
https://www.cnblogs.com/ssooking/p/7467369.html
ssh操作
ssh<-p 端口> 用户名@IP //登录
scp 文件路径 用户名@IP:存放路径 //向ssh服务器上传输文件
进程管理
ps aux| grep pid或者进程名//查看进程信息查看已建立的网络连接及进程
netstat -antulp | grep EST
查看指定端口被哪个进程占用 lsof
-i:端口号 或者 netstat -tunlp|grep 端口号
结束进程命令
kill PID
killall <进程名> kill -9
封杀IP地址(iptables命令){如何查看与本机链接的ip地址}
https://blog.csdn.net/qjc_501165091/article/details/51225984
封杀某个IP或者ip段,如:123.4.5.6
iptables -I INPUT -s 123.4.5.6-j DROP
iptables -I INPUT -s 123.4.5.1/24 -j DROP
禁止从某个主机ssh远程访问登陆到本机,如123.4.5.6
iptable -t filter -A INPUT -s 123.4.5.6 -p tcp --dport 22 -j DROP
Mysql数据库操作
文件监控防webshell(一开始就将大部分文件夹进行防止修改)
用chattr命令防止系统中某个profile关键文件被修改:
chattr +i /etc/profile
将/var/www/html目录下的文件设置为不允许任何人修改:
chattr -R +i /var/www/html
我们可以编写功能更加细化的程序,实现如监控文件变更,禁止创建、修改、删除任何文件或目录,自动删除新增文件,把被修改的文件改回去,
删除畸形隐藏文件等功能。我们使用pyinstaller把我代码打包为linux的elf可执行文件。-F参数表示打包为独立可运行文件,命令执行完之后自动生成:build、dist文件夹和SimpleMonitor.spec文件,你可以在dist目录里找到生成的elf程序。
4. 网络监控断异常连接
(1)关闭所有网络端口,只开放一些比赛的必要端口,也可以防止后门的连接
(2)限制ssh登陆,进行访问控制
(3)限制IP连接数和连接速率
(4)数据包简单识别,防止端口复用类的后门或者shell
(5)限制访问
一、查看哪些端口被打开 netstat -anp
二、关闭端口号:iptables -A INPUT -p tcp --drop 端口号-j DROP
iptables -A OUTPUT -p tcp --dport 端口号-j DROP
三、打开端口号:iptables -A INPUT -ptcp --dport 端口号-j ACCEPT
四、以下是linux打开端口命令的使用方法。
nc -lp 23 &(打开23端口,即telnet)