2
记一次被黑客攻击
source link: https://www.cnblogs.com/Sunzz/p/11936309.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
1 首先是发现异常的连接,这个IP不是我们自己的
2 找到对应的进程
发现经常竟然是ps命令,就该判断ps是不是被人改了
转载请在文章开头附上原文链接地址:https://www.cnblogs.com/Sunzz/p/11936309.html
3 判断ps 命令是否被改过
经过查看,发现并没有被人改过,这下就奇怪了,为什么会有这个进程呢,而且还一直存在进程中?
4 再看看其他机器
不看不知道,一看吓一跳,有一个shell 反弹,
再看见/bin/ps,发现还是没有改到的迹象
再看看其他有外网IP的电脑,依然是用/bin/ps 命令建立的连接
我就奇怪了,怎么用/bin/ps 还能建立连接呢
5 查看/proc/ 下相关进程信息
突然想到了去/proc/ 看下进程的相关信息,就看到了如下所示的内容,发现这个进程实际上就是执行/tmp/server 文件,但是文件已经被删除,但是内存中却留下来,以便黑客继续控制机器
干掉相关进程,发现它还会自己启动,看了一下定时任务,黑客竟然加了一个定时任务来,太猖狂了
转载请在文章开头附上原文链接地址:https://www.cnblogs.com/Sunzz/p/11936309.html
经过分析,现在基本可以确定黑客的攻击流程
(1)找到web漏洞
(2)获取运行该程序用户的权限
(3)破解root密码 --> 至此拿下机器。
(4)新建/tmp/server(攻击文件)
(5)把/bin/ps 移除
(6) 新建/bin/ps 软连接 指向 /tmp/server ,建立shell 反弹成功了,
(7) 删除软连接,并恢复原有/bin/ps,至此黑客的进程已经存在与内存中了。
经过以上步骤就可以完全拿下机器,我能看到的信息也就是有一个异常的socket连接和一个一直在运行的/bin/ps 进程,而且他这个/bin/ps 进程的PID还会变。说明黑客的进程一直是在内存中的。
解决方法:
(1)重新安装操作系统
(2)禁用密码登录
(3)设置防火墙
(1) 不必要的权限千万不要给
(2)不要使用弱密码,最好用密钥登录
(3)不要相信开发人员,写了漏洞可能自己都不知道
(4)防火墙必不可少,不要以为用了阿里的安全组就可以万事大吉了
(5)能不访问外网的服务器,就不要给开放外网权限
(6)一定要访问外网的服务器,自建代理,让走代理访问,并在代理服务器设置白名单
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK