我正在尝试完成实验室的作业,但有一个快速问题。
如何找到仍在运行且攻击者通过创建 systemd 服务实现持久性的恶意 TCP 服务?
我想我必须使用 netstat 来查找恶意 TCP 服务的名称,但是我应该使用什么命令来找到该服务?
谢谢
答案1
netstat -tlape
运行此命令将显示全部(-A)进程(-p)目前正在收听(-l)在 TCP 端口上(-t)包含扩展信息(-e)
笔记):
您需要运行它
sudo才能查看系统上的所有内容。man当您不确定程序如何运行时,请使用 Linux页面。在本例中,您可以键入man netstat以了解有关 netstat 命令的更多信息。要在手册页中搜索,请按/并输入 a,<search term>然后按enter以查找结果。n将向前循环,而N向后循环。
答案2
Netstat 可以显示拥有它的进程,但它无法告诉您该进程是否是恶意的。Netstat 本身无法为您提供所需的信息。