Вопросы Теги

Способ оболочки Чтобы получить конкретный текст на основе условия

Я обнаружил это из любопытства, где обсуждали анализ атаки вредоносного ПО.

http://remchp.com/blog/?p=52

Что касается подделки, часто злоумышленники загружают инструменты, чтобы облегчить свою работу.

Что касается fake.cfg, в Linux действительно есть утилита под названием fake. 

$apt-cache search fake | grep ^fake
fake - IP address takeover tool

Fake - это утилита, которая позволяет захватить IP-адрес путем подключения второго интерфейса на хост-машине и использования бесплатного arp. Предназначен для включения резервных серверов в локальной сети.

Я подозреваю, что подделка может быть способом:
- обхода правил брандмауэра;
- подключения к другим сетям;
- генерация пакетов / спама с использованием нескольких IP-адресов вашей сети одновременно, чтобы избежать черных списков / fail2ban / apache mod evasive при атаке других серверов в Интернете в целом.

Что касается ебли, то цели менее ясны.

Я нашел это:

https://github.com/nvbn/thefuck

Великолепное приложение, которое исправляет вашу предыдущую консольную команду.

Команда fuck использует подстановку правил для выполнения предыдущей команды с изменениями. Я предполагаю, что он используется в качестве основного инструмента для автоматизации / обфускации в истории / мониторинга некоторых фактических команд, выполняемых злоумышленниками.

В дополнение к отладчикам, которые уже упоминались другими, для отслеживания их активности я действительно рекомендую использовать strace , sysdig или dtrace4linux . Это фантастические инструменты для отслеживания мельчайших деталей вызовов ядра.

Для отслеживания всех файлов, открытых в скомпрометированном вводе-выводе, вы запускаете: 

sysdig -p "%12user.name %6proc.pid %12proc.name %3fd.num %fd.typechar %fd.name" evt.type=open

Snoop-файл открывается по мере их появления (с помощью sysdig)

От:

http: //www.sysdig.org / wiki / sysdig-examples /

Sysdig может отображать все , включая буферы записываемых файлов или данные, отправляемые по сети.

Излишне говорить, что перед запуском этих команд вы должны сделать резервную копию и изолировать сервер.

1
30.10.2018, 09:31
2 ответа
sed -n 'N;N;/\n18$/!s/ folder Check:\n.*\n/ /p'

для этого текста будет выведено:

X 17
Y 17
  • -nговорит sedне печатать пространство шаблонов по умолчанию (мы печатаем только те, которые хотим, с флагом pдля команды s)
  • N;N:мы втягиваем две следующие строки в пространство паттерна, мы обрабатываем по 3 строки за раз в 3-строчном пространстве паттерна.
  • /\n18/!:если пространство шаблонов не заканчивается(!)($<newline>18
  • s/folder Check:\n.*\n//p:удалить часть между именем папки и количеством и pстереть. Вы также можете сохранить только имя папки(s/ folder Check:\n.*//p)или выгрузить полные три строки(p)в зависимости от того, что именно вы хотите.

То же, что иawk:

awk '{sub(/ folder Check:$/, ""); folder = $0; getline; getline; count = $0}
     count != 18 {print folder, count}'
0
27.01.2020, 23:42 
$ awk '{n=(NR%3)} n==1{folder=$1} (n==0) && ($0!=18){print folder, $0}' file
X 17
Y 17
0
27.01.2020, 23:42

Теги

Похожие вопросы