首页 注册 登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  codeface  ›  全部回复第 1 页 / 共 6 页
回复总数  109
1  2  3  4  5  6  
3 月 30 日
回复了 monosolo1on1 创建的主题 每日一笑 大家一人来一句 AI 味很浓的语句,纯属娱乐
你已经走在正确的道路上了,只是缺一个系统的方法。下一步,我们可以一起把这个变成你的核心优势。
3 月 18 日
回复了 cocong 创建的主题 职场话题 来点乐观的,大胆预测十几年后 AI 全面升级,人人都可躺平无需工作
换种说法是未来的人类无 AI 无法替代的价值,只能被动躺平,找不到工作。
3 月 16 日
回复了 hellodigua 创建的主题 互联网 请问市场上有无博文快照的产品
@hellodigua docker 已加上,欢迎体验
3 月 16 日
回复了 hellodigua 创建的主题 互联网 请问市场上有无博文快照的产品
@hellodigua 好的,后面加上
3 月 16 日
回复了 xboxv 创建的主题 问与答 有什么方便的方式 将 整个网页内容 喂给 ChatGpt/Geimini 等 AI
https://github.com/icodeface/wayback-archiver
我会先把网页快照下来,然后让 AI 读快照之后的页面链接。
3 月 16 日
回复了 LightOrange 创建的主题 奇思妙想 从某米路由器处理器减配新闻及快照被改想到,消费者购物时主动保存快照的需求
来了来了 https://github.com/icodeface/wayback-archiver
试了一下对淘宝商品详情页的快照还原度还是可以的
3 月 16 日
回复了 hellodigua 创建的主题 互联网 请问市场上有无博文快照的产品
试试我写的 https://github.com/icodeface/wayback-archiver
以高保真的形式还原浏览过的网页
3 月 16 日
回复了 nc 创建的主题 分享创造 可能是市面上唯一的开源代理 IP 数据库
有意思,没想到 wikipedia 会把 block 的 ip 数据开放出来
3 月 12 日
回复了 codeface 创建的主题 分享创造 Wayback Archiver 自托管的个人网页归档系统
@xJogger 经测试是支持的
3 月 12 日
回复了 codeface 创建的主题 分享创造 Wayback Archiver 自托管的个人网页归档系统
@hhacker 图片不太方便做正文检索,然后我还想把内容开放给 AI 读,图片效果也没文本好。
3 月 12 日
回复了 codeface 创建的主题 分享创造 Wayback Archiver 自托管的个人网页归档系统
@fds 尽可能还原了,部分 SPA 网页还是要单独做特殊处理。
3 月 11 日
回复了 codeface 创建的主题 分享创造 Wayback Archiver 自托管的个人网页归档系统
记录我所浏览的一切!
3 月 4 日
回复了 RIckV2 创建的主题 生活 已经没有什么消费的欲望了,怎么办?
我的选择是偶尔给慈善机构捐一些,这时能让我感受到存在的价值。
2025 年 8 月 5 日
回复了 Livid 创建的主题 Solana 20250805 - Cold Wallet 操作说明
排队,求打赏
2025 年 8 月 4 日
回复了 ershierdu 创建的主题 Solana 请教一个$V2EX 的技术细节
https://solscan.io/tx/gRsDRKSJSrxMBnWJu3jmHqimArACFoeFnp6XgZ95EVVxM5HDzU3VVqLndxAGKWi5cQPT1j4yHD9XrcY9eRVm1F2
Pump.fun 买入,在 Meteora 卖出,利用两个 DEX 的价格差套利。
2025 年 6 月 7 日
回复了 wildlynx 创建的主题 教育 你们有过高考 PTSD 吗?
十多年了,还是会梦到,考得最烂的一次
2025 年 5 月 19 日
回复了 jaywcjlove 创建的主题 macOS Musicer 迷你便捷的本地音乐播放器,支持格式: MP3, AIFF, AMR, WAV, CAF, AAC, AC3, FLAC, M4R, M4A 等
赞一个,很不错,用起来了。
我用群晖 Drive 把音乐文件同步到本地,正愁没有合适的播放器。
2023 年 10 月 30 日
回复了 ggp1ot2 创建的主题 程序员 1password 的这个页面,是用什么框架部署的,感觉非常丝滑,想抄一个
看着像 docusaurus
2023 年 7 月 31 日
回复了 AutumnVerse 创建的主题 信息安全 假如服务器被入侵了,要检查哪些地方?
如前人所述,重装是最稳妥的。不过也有一些排查手段可以参考:

# 1.查看异常进程活动-查找是否有异常进程和端口占用

## 1.1 查找占用 cpu 最多的进程
* 运行 top 命令后,键入大写字母 P 按 cpu 排序

## 1.2 查找占用内存最多的进程
* 运行 top 命令后,键入大写字母 M
* `ps aux | sort -k4nr`

## 1.3 查找进程对应的文件
* `ls -la /proc/$pid/exe`
* `ls -la /proc/$pid`

## 1.4 跟踪异常进程运行情况
* `strace -tt -T -e trace=all -p $pid`

## 1.5 查看进程打开的文件
* `lsof -p $pid`

## 1.6 查看进程端口情况
* 查看所有端口 `netstat -anltp`
* 查看指定进程的端口 `netstat -anltp | grep $pid`
* `netstat -apn|more`

## 1.7 清除恶意进程
* 清除可疑进程的进程链: `ps -elf | grep [pid] kill -9 [pid]`

# 2.查看账号安全

## 2.1 查看是否有存在新增异常账号
* 查找特权用户 `awk -F ":" '$3==0{print $1}' /etc/passwd`
* 查找可以远程登录的账号信息 `awk '/\$1|\$6/{print $1}' /etc/shadow`
* 查找 sudo 权限账户 `cat /etc/sudoers | grep -v "^#\|^$" | grep "ALL=(ALL)"`

## 2.2 查看是否有账号异常登录情况
* 查看当前登录用户和其行为 `w`
* 查看所有用户最后一次登录的时间 `lastlog`
* 查看错误登陆信息 `lasstb`
* 查看所有用户的登录注销信息及系统的启动、重启及关机事件 `last`
* 查看登录成功的日期、用户名及 ip `grep "Accepted " /var/log/secure* | awk '{print $1,$2,$3,$9,$11}'`
* 查看试图爆破主机的 ip
```
grep refused /var/log/secure* | awk {'print $9'} | sort | uniq -c |sort -nr | more

grep "Failed password" /var/log/secure* | grep -E -o "(([0-9]{1,3})\.([0-9]{1,3})\.([0-9]{1,3})\.([0-9]{1,3}))" | uniq -c
```

* 查看有哪些 ip 在爆破主机的 root 账号
`grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort`

* 查看爆破使用的用户名字典
`grep "Failed password" /var/log/secure | awk {'print $9'} | sort | uniq -c | sort -nr`

# 3.检查开机启动项

一般通过`crontab -l`命令即可检测到定时任务后门。不同的 linux 发行版可能查看开机启动项的文件不大相同,Debian 系 linux 系统一般是通过查看`/etc/init.d`目录有无最近修改和异常的开机启动项。而 Redhat 系的 linux 系统一般是查看`/etc/rc.d/init.d`或者`/etc/systemd/system`等目录。

依次排查:
```
/var/spool/cron/*
/etc/crontab
/etc/cron.d/*
/etc/cron.daily/*
/etc/cron.hourly/*
/etc/cron.monthly/*
/etc/cron.weekly/
/etc/anacrontab
/var/spool/anacron/*
```

* `cat /etc/rc.local`
* `cat /etc/init.d/rc.local`
* `chkconfig --list`
* `ls -alt /etc/init.d`

* 查看 anacron 异步定时任务 `cat/etc/anacrontab`
* 枚举主机所有服务 `service--status-all`

# 4.查找异常文件

## 4.1 查看最近一段时间内被修改的系统文件
* `find /etc/ /usr/bin/ /usr/sbin/ /bin/ /usr/local/bin/ -type f -mtime -T | xargs ls -la`

## 4.2 按时间排序,确认最近是否有命令被替换,可以结合 rpm -Va 命令
* `ls -alt /usr/bin /usr/sbin /bin /usr/local/bin`
* `rpm -Va>rpm.log`

## 4.3 查看指定目录下文件时间的排序
* `ls -alt | head -n 10`

## 4.4 使用 find 指令查找限定时间范围的文件
* `sudo find ./ -cmin -10 -name "*.php"`


# 5.排查恶意 alias
检查 `~/.bashrc`和`~/.bash_profile`

# 6.排查恶意 ssh 公钥
* `/etc/.ssh/AuthorizedKeys`
* `~/.ssh/AuthorizedKeys`

# 7.系统文件被替换的情况下使用`busybox`
被替换的系统文件通常为 `ld.so.preload`

* `busybox ps -ef|grep watchdogs`
* `busybox ps -ef|grep ksoftirqds`


# 8.借助工具查杀病毒和 rootkit

## 8.1 查杀 rootkit
chkrootkit (下载地址-http://www.chkrootkit.org)
rkhunter (下载地址-http://rkhunter.sourceforge.net)

## 8.2 查杀病毒
clamav(下载地址-http://www.clamav.net/download.html)

## 8.3 查杀 webshell
cloudwalker(下载地址-http://github.com/chaitin/cloudwalker)

# 9. 添加命令审计
为历史的命令增加登录的 IP 地址、执行命令时间等信息

## 9.1 保存 1 万条命令:
* `sed -i 's/^HISTSIZE=1000/HISTSIZE=10000/g' /etc/profile`

## 9.2 在/etc/profile 的文件尾部添加如下行数配置信息

```
USER_IP=`who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]
then
USER_IP=`hostname`
fi

export HISTTIMEFORMAT="%F %T $USER_IP `whoami` "
shopt -s histappend
export PROMPT_COMMAND="history -a"
```
1  2  3  4  5  6  
关于   ·   帮助文档   ·   自助推广系统   ·   博客   ·   API   ·   FAQ   ·   Solana   ·   2657 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 55ms · UTC 04:04 · PVG 12:04 · LAX 21:04 · JFK 00:04
♥ Do have faith in what you're doing.