记一次被黑客攻击
1 首先是发现异常的连接,这个IP不是我们自己的
2 找到对应的进程
发现经常竟然是ps命令,就该判断ps是不是被人改了
转载请在文章开头附上原文链接地址:https://www.cnblogs.com/Sunzz/p/11936309.html
3 判断ps 命令是否被改过
经过查看,发现并没有被人改过,这下就奇怪了,为什么会有这个进程呢,而且还一直存在进程中?
4 再看看其他机器
不看不知道,一看吓一跳,有一个shell 反弹,
再看见/bin/ps,发现还是没有改到的迹象
再看看其他有外网IP的电脑,依然是用/bin/ps 命令建立的连接
我就奇怪了,怎么用/bin/ps 还能建立连接呢
5 查看/proc/ 下相关进程信息
突然想到了去/proc/ 看下进程的相关信息,就看到了如下所示的内容,发现这个进程实际上就是执行/tmp/server 文件,但是文件已经被删除,但是内存中却留下来,以便黑客继续控制机器
干掉相关进程,发现它还会自己启动,看了一下定时任务,黑客竟然加了一个定时任务来,太猖狂了
转载请在文章开头附上原文链接地址:https://www.cnblogs.com/Sunzz/p/11936309.html
经过分析,现在基本可以确定黑客的攻击流程
(1)找到web漏洞
(2)获取运行该程序用户的权限
(3)破解root密码 --> 至此拿下机器。
(4)新建/tmp/server(攻击文件)
(5)把/bin/ps 移除
(6) 新建/bin/ps 软连接 指向 /tmp/server ,建立shell 反弹成功了,
(7) 删除软连接,并恢复原有/bin/ps,至此黑客的进程已经存在与内存中了。
经过以上步骤就可以完全拿下机器,我能看到的信息也就是有一个异常的socket连接和一个一直在运行的/bin/ps 进程,而且他这个/bin/ps 进程的PID还会变。说明黑客的进程一直是在内存中的。
解决方法:
(1)重新安装操作系统
(2)禁用密码登录
(3)设置防火墙
启示:
(1) 不必要的权限千万不要给
(2)不要使用弱密码,最好用密钥登录
(3)不要相信开发人员,写了漏洞可能自己都不知道
(4)防火墙必不可少,不要以为用了阿里的安全组就可以万事大吉了
(5)能不访问外网的服务器,就不要给开放外网权限
(6)一定要访问外网的服务器,自建代理,让走代理访问,并在代理服务器设置白名单
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】博客园社区专享云产品让利特惠,阿里云新客6.5折上折
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 一个奇形怪状的面试题:Bean中的CHM要不要加volatile?
· [.NET]调用本地 Deepseek 模型
· 一个费力不讨好的项目,让我损失了近一半的绩效!
· .NET Core 托管堆内存泄露/CPU异常的常见思路
· PostgreSQL 和 SQL Server 在统计信息维护中的关键差异
· CSnakes vs Python.NET:高效嵌入与灵活互通的跨语言方案对比
· DeepSeek “源神”启动!「GitHub 热点速览」
· 我与微信审核的“相爱相杀”看个人小程序副业
· Plotly.NET 一个为 .NET 打造的强大开源交互式图表库
· 上周热点回顾(2.17-2.23)
2019-09-05 zabbix设置钉钉报警