当前位置: 首页 > news >正文

恶意进程排查

news 2025/10/15 8:06:53

探索ctf用户可以使用的特权命令都有哪些
sudo -l
发现可以
(ALL) NOPASSWD: /usr/bin/kill
通过ps -ef发现了一个systemd-helper,再尝试了下,发现环境里可以使用lsof,
8为其PID值

lsof -p 8
得到
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
frps 8 root cwd unknown /proc/8/cwd (readlink: Permission denied)
frps 8 root rtd unknown /proc/8/root (readlink: Permission denied)
frps 8 root txt unknown /proc/8/exe (readlink: Permission denied)
frps 8 root NOFD /proc/8/fd (opendir: Permission denied)
发现systemd-helper其实就是frps,接下来就是kill。
8为其PID值

sudo kill -9 8
watch cat /checklog
你的CTF题目实战流程总结:

信息搜集:sudo -l -> 发现可以无密码使用 kill。
进程排查:ps -ef -> 发现可疑进程 systemd-helper (PID为8)。
深度分析:lsof -p 8 -> 确认该进程真实身份为 frps(内网穿透工具,极大可能是后门)。
清除处置:利用发现的sudo权限 sudo kill -9 8 -> 强制终止恶意进程。

把这个命令清单保存下来,下次遇到类似的Linux应急响应或权限提升题目时,按照用户->进程->网络->服务->文件->日志的顺序进行排查,就能系统地找到突破口
————————————————

                        版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

原文链接:https://blog.csdn.net/qq_36438489/article/details/151905689

http://www.dtcms.com/a/482339.html

相关文章:

  • Docker Desktop在MAC上无法强制关闭的命令清理方式
  • Android音频学习(二十二)——音频接口
  • 河北网站备案流程抖音代运营交1600押金
  • 专做正品 网站网站关键词优化培训
  • 2025年--Lc184--62.不同路径(动态规划)--Java版
  • 区块链的理解
  • 【GUI自动化测试】YAML 配置文件应用:从语法解析到 Python 读写
  • 使用llamaindex实现RAG时 的常见使用框架或工具
  • YOLOv3:高效精准的实时目标检测算法
  • 怎么做坑人网站同城新闻app有哪些
  • 网站建设需求调研问卷韶关网站开发
  • 设计模式篇之 责任链模式 Chain of Responsibility
  • 阿里云-ECS实例信息统计并发送统计报告到企业微信
  • LeetCode 刷题【119. 杨辉三角 II、120. 三角形最小路径和】
  • Jmeter跨线程组获取参数
  • Tomcat核心组件全解析
  • 盈利型网站wordpress系列教程 pdf
  • 基于OpenCASCADE的分层点云到STL实体模型转换技术
  • Dubbo RPC 调用中用户上下文传递问题的解决
  • 推广网站设计推广方案用户体验设计软件
  • 权威的电商网站建设销售平台建设方案
  • 基于浏览器的DOCX文件编辑器:实现导入、编辑与导出功能
  • Android adb 基础使用指南
  • 哈尔滨网站运营服务商宁夏省住房城乡建设厅网站
  • Html播放m3u8视频
  • 鞍山网站网站建设做一个交易平台网站的成本
  • 幂等机制
  • 2025.10月报 Cherry Stuido 1.6.4、Ollama 0.12.5、Dify 1.9.1升级使用摘要
  • 抗衰≠智商税:WJCZ(唯诺因)麦角硫因的细胞级抗衰技术解析
  • 做团购网站有什么难处百度联盟官网