1 首先是發現例外的連接,這個IP不是我們自己的
2 找到對應的行程
發現經常竟然是ps命令,就該判斷ps是不是被人改了
轉載請在文章開頭附上原文鏈接地址:https://www.cnblogs.com/Sunzz/p/11936309.html
3 判斷ps 命令是否被改過
經過查看,發現并沒有被人改過,這下就奇怪了,為什么會有這個行程呢,而且還一直存在行程中?
4 再看看其他機器
不看不知道,一看嚇一跳,有一個shell 反彈,
再看見/bin/ps,發現還是沒有改到的跡象
再看看其他有外網IP的電腦,依然是用/bin/ps 命令建立的連接
我就奇怪了,怎么用/bin/ps 還能建立連接呢
5 查看/proc/ 下相關行程資訊
突然想到了去/proc/ 看下行程的相關資訊,就看到了如下所示的內容,發現這個行程實際上就是執行/tmp/server 檔案,但是檔案已經被洗掉,但是記憶體中卻留下來,以便黑客繼續控制機器
干掉相關行程,發現它還會自己啟動,看了一下定時任務,黑客竟然加了一個定時任務來,太猖狂了
轉載請在文章開頭附上原文鏈接地址:https://www.cnblogs.com/Sunzz/p/11936309.html
經過分析,現在基本可以確定黑客的攻擊流程
(1)找到web漏洞
(2)獲取運行該程式用戶的權限
(3)破解root密碼 --> 至此拿下機器,
(4)新建/tmp/server(攻擊檔案)
(5)把/bin/ps 移除
(6) 新建/bin/ps 軟連接 指向 /tmp/server ,建立shell 反彈成功了,
(7) 洗掉軟連接,并恢復原有/bin/ps,至此黑客的行程已經存在與記憶體中了,
經過以上步驟就可以完全拿下機器,我能看到的資訊也就是有一個例外的socket連接和一個一直在運行的/bin/ps 行程,而且他這個/bin/ps 行程的PID還會變,說明黑客的行程一直是在記憶體中的,
解決方法:
(1)重新安裝作業系統
(2)禁用密碼登錄
(3)設定防火墻
啟示:
(1) 不必要的權限千萬不要給
(2)不要使用弱密碼,最好用密鑰登錄
(3)不要相信開發人員,寫了漏洞可能自己都不知道
(4)防火墻必不可少,不要以為用了阿里的安全組就可以萬事大吉了
(5)能不訪問外網的服務器,就不要給開放外網權限
(6)一定要訪問外網的服務器,自建代理,讓走代理訪問,并在代理服務器設定白名單
轉載請註明出處,本文鏈接:https://www.uj5u.com/caozuo/297691.html
標籤:Linux
上一篇:痞子衡嵌入式:MCUXpresso Config Tools初體驗(Pins, Clocks, Peripherals)