Штатные утилиты для обнаружения и обезвреживания вредоносов.
💬 Процессы и автозапуск
- ps / pgrep / top / htop — ищем «левые» процессы, аномальный расход CPU/RAM.
- systemctl / service — неизвестные юниты/демоны в автозапуске.
💬 Сеть и соединения
- ss / netstat — кто слушает порты и куда установлены сессии.
- lsof — какие процессы держат файлы/сокеты, в т.ч. «удалённые» бинарники.
💬 Файлы, изменения и права
- grep — быстрый поиск характерных паттернов.
- lsattr / chattr — проверка «immutable»-атрибута.
💬 Логи и следы взлома
- last / lastb / w — логины и неудачные попытки.
💬 Учётные записи и ключи
- /etc/passwd — двойные UID 0, «левые» системные пользователи. authorized_keys — подмена ключей.
Шаги реагирования
Шаги реагирования и примеры использования читайте здесь.
Еще больше полезных инструментов и лайфхаков в канале CORTEL.
➡️ Подписаться
