189 8069 5689

linux命令黑名单绕过 linux拉黑

LINUX系统有哪些危险命令

这9个“非常危险”的Linux命令一定要记住!

舞阳ssl适用于网站、小程序/APP、API接口等需要进行数据传输应用场景,ssl证书未来市场广阔!成为创新互联建站的ssl证书销售渠道,可以享受市场价格4-6折优惠!如果有意向欢迎电话联系或者加微信:18982081108(备注:SSL证书合作)期待与您的合作!

1、rm-rf命令

rm-rf命令是删除文件夹及其内容最快的一种方式,仅仅一丁点的敲错或者无知都可能导致不可恢复的系统崩坏。

rm命令在Linux下通常用来删除文件

rm-f命令递归的删除文件夹,甚至是空的文件夹

rm-f命令能不经过询问直接删除只读文件

rm-rf/:强制删除根目录下所有东西

rm-rf/*:强制删除当前目录的所有文件

rm-rf.:强制删除当前文件夹及其子文件

温馨提示:当你要执行rm -rf命令时,一定要留心,可以在“.bashrc”文件对“rm”命令创建rm

-i的别名,来预防用‘rm’命令删除文件时的事故。

2、:(){:|:};:命令

这就是一个fork炸弹的实例。具体操作是通过定义一个名为':'的函数,它会调用自己两次,一次在前台另一次运行在后台。它会反复的执行下去直到系统崩溃。

3、命令 /dev/sda

上列命令会将某个'命令'的输出写到块设备/dev/sda中。该操作会将在块设备中的所有数据块替换为命令写入的原始数据,从而导致整个块设备的数据丢失。

4、mv文件夹/dev/null

这个命令会移动某个'文件夹'到/dev/null。在Linux中/dev/null或null设备是一个特殊的文件,所有写入它的数据都会被清除,然后返回写操作成功。

5、wget -O- | sh

上面这个命令会从一个恶意源下载一个脚本并执行。Wget命令会下载这个脚本,而sh会执行下载下来的脚本。

温馨提示:你应该时刻注意你下载包或者脚本的源。只能使用那些从可信任的源中下载脚本/程序。

6、mkfs.ext3 /dev/sda

上列命令会格式化设备'sda',你无疑知道在执行上列命令后你的块设备会被格式化,崭新的。没有任何数据,直接让你的系统达到不可恢复的阶段。

7、 file

上面命令常用来清空文件内容,如果用上列执行时输入错误或无知的输入类似“ xt.conf” 的命令会覆盖配置文件或其他任何的系统配置文件。

8、^foo^bar

这个命令用来编辑先前运行的命令而无需要打整个命令。但当用foobar命令时如果你没有彻底检查改变原始命令的风险,这可能导致真正的麻烦。

9、dd if=/dev/random of=/dev/sda

上面这个命令会向块设备sda写入随机的垃圾文件从而擦出数据。当然,你的系统可能陷入混乱和不可恢复的状态。

如何在Linux上高效阻止恶意IP地址

在Linux中,只要借助netfilter/iptables框架,就很容易实现阻止IP地址这一目的:

$ sudo iptables -A INPUT -s 1.1.1.1 -p TCP -j DROP

如果你想要禁止某一整个IP地址区段,也能同样做到这一点:

$ sudo iptables -A INPUT -s 1.1.2.0/24 -p TCP -j DROP

不过,要是你有1000个没有共同CIDR(无类别域间路由)前缀的独立IP地址想要禁止访问,该如何是好?那你就要设定1000个iptables规则!很显然这种方法不具有良好的扩展性。

$ sudo iptables -A INPUT -s 1.1.1.1 -p TCP -j DROP

$ sudo iptables -A INPUT -s 2.2.2.2 -p TCP -j DROP

$ sudo iptables -A INPUT -s 3.3.3.3 -p TCP -j DROP

. . . .

何谓IP集?

这时候,IP集(IP set)就能派得上大用场。IP集是一种内核功能,允许多个(独立)IP地址、MAC地址或者甚至多个端口号高效地编码并存储在比特图/散列内核数据结构里面。一旦创建了IP集,就能创建与该集匹配的iptables规则。

你应该会立马看到使用IP集带来的好处,那就是你只要使用一个iptables规则,就能够与IP集中的多个IP地址进行匹配!你可以结合使用多个IP地址和端口号来构建IP集,还可以用IP集动态更新iptables规则,对性能根本没有任何影响。

将IPset工具安装到Linux上

想创建并管理IP集,你就需要使用一种名为ipset的用户空间工具。

想将ipset安装到Debian、Ubuntu或Linux Mint上:

$ sudo apt-get install ipset

想将ipset安装到Fedora或CentOS/RHEL 7上:

$ sudo yum install ipset

使用IPset命令禁止IP地址

不妨让我通过几个简单的例子,具体介绍如何使用ipset命令。

首先,不妨创建一个新的IP集,名为banthis(名称随意):

$ sudo ipset create banthis hash:net

上述命令中的第二个变量(hash:net)必不可少,它代表了所创建的集的类型。IP集有多种类型。hash:net类型的IP集使用散列来存储多个CIDR区段。如果你想在该集中存储单个的IP地址,可以改而使用hash:ip类型。

一旦你创建了一个IP集,就可以使用该命令来检查该集:

$ sudo ipset list

这显示了可用IP 集的列表,另外还显示了每个集的详细信息,其中包括集成员。默认情况下,每个IP集可以最多含有65536个元素(这里是CIDR区段)。你只要在后面添加“maxelem N”选项,就可以调大这个极限值。

$ sudo ipset create banthis hash:net maxelem 1000000

现在不妨将IP地址区段添加到该集:

$ sudo ipset add banthis 1.1.1.1/32

$ sudo ipset add banthis 1.1.2.0/24

$ sudo ipset add banthis 1.1.3.0/24

$ sudo ipset add banthis 1.1.4.10/24

你会发现,集成员已发生了变化。

$ sudo ipset list

现在可以使用该IP集来创建一个iptables规则了。这里的关键在于,使用“-m set --match-set ”这个选项。

不妨创建一个iptables规则,阻止该集中的所有那些IP地址区段通过端口80访问网站服务器。这可以通过这个命令来实现:

$ sudo iptables -I INPUT -m set --match-set banthis src -p tcp --destination-port 80 -j DROP

如果你想,还可以将特定的IP集保存到一个文件中,然后以后可以从该文件来恢复:

$ sudo ipset save banthis -f banthis.txt

$ sudo ipset destroy banthis

$ sudo ipset restore -f banthis.txt

在上述命令中,我试着使用destroy选项来删除现有的IP集,看看我能不能恢复该IP集。

自动禁止IP地址

至此,你应该会看到IP集这个概念有多强大。仍然维持一份最新的IP黑名单可能是件麻烦又费时的活儿。实际上,现在外头有一些免费服务或收费服务可以为你维护这些IP黑名单。另外,不妨看一下我们如何可以将可用IP黑名单自动转换成IP集。

我暂且从免费或收费发布各种IP阻止列表的iblocklist.com获取免费的IP列表。提供了P2P格式的免费版本。

我要使用一款名为iblocklist2ipset的开源python工具,这个工具可以将P2P版本的iblocklist转换成IP sets。

首先,你需要安装好pip(想安装pip,请参阅这篇指导文章:)。

然后安装iblocklist2ipset,具体如下所示。

$ sudo pip install iblocklist2ipset

在Fedora之类的一些发行版上,你可能需要运行这个命令:

$ sudo python-pip install iblocklist2ipset

现在进入到iblocklist.com,获取任何P2P列表URL(比如“level1”列表)。

然后将该URL粘贴到下面这个命令中:

$ iblocklist2ipset generate \

--ipset banthis ";fileformat=p2parchiveformat=gz" \

banthis.txt

在你运行上述命令后,你就创建了一个名为bandthis.txt的文件。如果你检查其内容,就会看到类似以下的内容:

create banthis hash:net family inet hashsize 131072 maxelem 237302

add banthis 1.2.4.0/24

add banthis 1.2.8.0/24

add banthis 1.9.75.8/32

add banthis 1.9.96.105/32

add banthis 1.9.102.251/32

add banthis 1.9.189.65/32

add banthis 1.16.0.0/14

你可以使用ipset命令,就能轻松装入该文件:

$ sudo ipset restore -f banthis.txt

现在,用下面这个命令检查自动创建的IP集:

$ sudo ipset list banthis

截至本文截稿时,“level1”阻止列表含有237000多个IP地址区段。你会发现,许多IP地址区段已经被添加到了IP集中。

最后,只需创建一个iptables规则,就能阻止所有这些地址!

linux如何拦截黑名单进程执行危险命令

Linux进程间通信由以下几部分发展而来:

早期UNIX进程间通信:包括管道、FIFO、信号。

基于System V的进程间通信:包括System V消息队列、System V信号灯(Semaphore)、System V共享内存。

基于Socket进程间通信。

基于POSIX进程间通信:包括POSIX消息队列、POSIX信号灯、POSIX共享内存。

Linux中,与IPC相关的命令包括:ipcs、ipcrm(释放IPC)、

IPCS命令是Linux下显示进程间通信设施状态的工具。我们知道,系统进行进程间通信(IPC)的时候,可用的方式包括信号量、共享内存、消息队列、管道、信号(signal)、套接字等形式[2]。使用IPCS可以查看共享内存、信号量、消息队列的状态。

例如在CentOS6.0上执行ipcs

具体的用法总结如下:

1、显示所有的IPC设施

# ipcs -a

2、显示所有的消息队列Message Queue

# ipcs -q

3、显示所有的信号量

# ipcs -s

4、显示所有的共享内存

# ipcs -m

5、显示IPC设施的详细信息

# ipcs -q -i id

id 对应shmid、semid、msgid等。-q对应设施的类型(队列),查看信号量详细情况使用-s,查看共享内存使用-m。

6、显示IPC设施的限制大小

# ipcs -m -l

-m对应设施类型,可选参数包括-q、-m、-s。

7、显示IPC设施的权限关系

# ipcs -c

# ipcs -m -c

# ipcs -q -c

# ipcs -s -c

8、显示最近访问过IPC设施的进程ID。

# ipcs -p

# ipcs -m -p

# ipcs -q -p

9、显示IPC设施的最后操作时间

# ipcs -t

# ipcs -q -t

# ipcs -m -t

# ipcs -s -t

10、显示IPC设施的当前状态

# ipcs -u

Linux上的ipcs命令,不支持UNIX上的-b、-o指令,同样UNIX中不支持-l、-u指令,所以在编写跨平台的脚本时,需要注意这个问题。


网页标题:linux命令黑名单绕过 linux拉黑
本文路径:http://cdxtjz.cn/article/ddoogjc.html

其他资讯