ctf线下防御攻略

https://www.cnblogs.com/ssooking/p/7467369.html

---

ssh操作

ssh<-p 端口> 用户名@IP          //登录

scp 文件路径 用户名@IP:存放路径           //向ssh服务器上传输文件

---

进程管理

ps aux| grep pid或者进程名//查看进程信息查看已建立的网络连接及进程

netstat -antulp | grep EST

查看指定端口被哪个进程占用　　lsof

-i:端口号 或者 netstat -tunlp|grep 端口号

　　结束进程命令

　　kill PID

　　killall <进程名>　　kill -9

---

封杀IP地址（iptables命令）{如何查看与本机链接的ip地址}
https://blog.csdn.net/qjc_501165091/article/details/51225984

封杀某个IP或者ip段，如：123.4.5.6

       iptables -I INPUT -s 123.4.5.6-j DROP

　　iptables -I INPUT -s 123.4.5.1/24 -j DROP

　　禁止从某个主机ssh远程访问登陆到本机，如123.4.5.6

　iptable -t filter -A INPUT -s 123.4.5.6 -p tcp --dport 22 -j DROP

Mysql数据库操作

---

文件监控防webshell（一开始就将大部分文件夹进行防止修改）

用chattr命令防止系统中某个profile关键文件被修改：

chattr +i /etc/profile

将/var/www/html目录下的文件设置为不允许任何人修改：

chattr -R +i /var/www/html

我们可以编写功能更加细化的程序，实现如监控文件变更，禁止创建、修改、删除任何文件或目录，自动删除新增文件，把被修改的文件改回去,

删除畸形隐藏文件等功能。我们使用pyinstaller把我代码打包为linux的elf可执行文件。-F参数表示打包为独立可运行文件，命令执行完之后自动生成：build、dist文件夹和SimpleMonitor.spec文件，你可以在dist目录里找到生成的elf程序。

---

4. 网络监控断异常连接

（1）关闭所有网络端口，只开放一些比赛的必要端口，也可以防止后门的连接

（2）限制ssh登陆，进行访问控制

（3）限制IP连接数和连接速率

（4）数据包简单识别，防止端口复用类的后门或者shell

（5）限制访问

一、查看哪些端口被打开 netstat -anp

二、关闭端口号:iptables -A INPUT -p tcp --drop 端口号-j DROP

iptables -A OUTPUT -p tcp --dport 端口号-j DROP

三、打开端口号：iptables -A INPUT -ptcp --dport  端口号-j ACCEPT

四、以下是linux打开端口命令的使用方法。

nc -lp 23 &(打开23端口，即telnet)