这里是一些刷玄机时留下的笔记。

linux

异常端口

1.netstat网络连接命令,可以分析可疑端口、IP、PID

1
2
3
4
netstat -antlp|more

查看下pid所对应的进程文件路径
ls -l /proc/$PID/exe或file /proc/$PID/exe

2.可以使用ss -lnup进行查看被监听的端口

sssocket statistics)是 Linux 系统中用于显示网络连接信息的命令,它是 netstat 的更高效替代方案。

-llistening):
仅显示正在监听的端口(即服务器模式下运行的服务)。

-nnumeric):
数字方式显示端口号和 IP 地址,而不尝试解析为主机名或服务名(提高执行速度)。

-uUDP):
仅显示 UDP 端口的监听状态。

-pprocess):
显示使用这些端口的进程信息(包括进程 ID 和名称)。

Netid(网络协议类型)

State(套接字状态)

Recv-Q(接收队列)

Send-Q(发送队列)

Local Address:Port(本地地址和端口)

Peer Address:Port(对端地址和端口)

日志

网站日志文件路径 /www/wwwlogs

文件名 类型 记录范围 典型问题定位
ip.error.log 错误日志 特定域名 该域名的 HTTP 错误(如 404/500)
ip.log 访问日志 特定域名 该域名的请求流量分析
access.log 访问日志 所有域名 全局访问统计、安全审计
nginx_error.log 错误日志 服务器全局 服务崩溃、配置错误、端口冲突

配置文件

黑客可以修改用户的 Shel 配置文件,这些文件在用户登录时被执行。常见的文件包括:

1、”/.bashrc“:用于 Bash Shell,会在每次打开新的终端或登录 Shell 时执行。
2、”/.bash_profile“或”/.profile“:这些文件在用户登录时执行。
3、”/.zshrc“:用于Zsh Shell,与”~/.bashrc“类似。
4、”/etc/profile“:为所有用户提供的系统级别的配置文件,
5、”/etc/bash.bashrc“:为所有用户提供的系统级别的配置文件,Bash Shell 专用。

数据库

数据库登录的账号和密码通常存储在配置文件如 config.inc.php

流量

在 Wireshark 中分析文件上传时,查找 boundary 是一个关键步骤。boundary 一般常用在 multipart/form-data POST 请求中分隔不同的部分(part),例如文件和其他数据。

同时也具备;

识别上传内容的边界: 当文件通过 multipart/form-data 上传时,每个部分用 boundary 分隔。通过识别 boundary,可以分离出文件内容和其他表单数据。

解析上传的文件数据: boundary 提供了上传内容的分隔符,使得可以准确提取文件数据和元数据(如文件名、类型等)。

命令行

find / -type f -newer /var/www/html/plugins/cpg.php ! -newer /var/lib/mysql/JPMorgan@0020Chase/Balance.frm

简单分析;

/: 从根目录开始查找。
-type f: 只查找文件(不包括目录、链接等)。
-newer /var/www/html/plugins/cpg.php: 找出比这个文件新的文件。
! -newer /var/lib/mysql/JPMorgan@0020Chase/Balance.frm: 找出比这个文件旧的文件。

后台运行程序

1
ps -ef

crontab -l 查看计划任务