标签：bin ps 一次 黑客攻击 server 黑客 进程 连接

1 首先是发现异常的连接，这个IP不是我们自己的

 2 找到对应的进程

 发现经常竟然是ps命令，就该判断ps是不是被人改了

3 判断ps 命令是否被改过

经过查看，发现并没有被人改过，这下就奇怪了，为什么会有这个进程呢，而且还一直存在进程中？

4 再看看其他机器

 不看不知道，一看吓一跳，有一个shell 反弹，

再看见/bin/ps，发现还是没有改到的迹象

再看看其他有外网IP的电脑，依然是用/bin/ps 命令建立的连接

 我就奇怪了，怎么用/bin/ps 还能建立连接呢

5 查看/proc/ 下相关进程信息

突然想到了去/proc/ 看下进程的相关信息，就看到了如下所示的内容，发现这个进程实际上就是执行/tmp/server 文件，但是文件已经被删除，但是内存中却留下来，以便黑客继续控制机器

 干掉相关进程，发现它还会自己启动，看了一下定时任务，黑客竟然加了一个定时任务来，太猖狂了

 转载请在文章开头附上原文链接地址：https://www.cnblogs.com/Sunzz/p/11936309.html

经过分析，现在基本可以确定黑客的攻击流程

(1)找到web漏洞

(2)获取运行该程序用户的权限

(3)破解root密码 --> 至此拿下机器。

(4)新建/tmp/server(攻击文件)

(5)把/bin/ps 移除

(6) 新建/bin/ps 软连接 指向 /tmp/server ,建立shell 反弹成功了，

(7) 删除软连接，并恢复原有/bin/ps，至此黑客的进程已经存在与内存中了。

经过以上步骤就可以完全拿下机器，我能看到的信息也就是有一个异常的socket连接和一个一直在运行的/bin/ps 进程，而且他这个/bin/ps 进程的PID还会变。说明黑客的进程一直是在内存中的。

解决方法：

(1)重新安装操作系统

(2)禁用密码登录

(3)设置防火墙

启示：

（1） 不必要的权限千万不要给

（2）不要使用弱密码，最好用密钥登录

（3）不要相信开发人员，写了漏洞可能自己都不知道

（4）防火墙必不可少，不要以为用了阿里的安全组就可以万事大吉了

（5）能不访问外网的服务器，就不要给开放外网权限

（6）一定要访问外网的服务器，自建代理，让走代理访问，并在代理服务器设置白名单

 

标签：bin,ps,一次,黑客攻击,server,黑客,进程,连接
来源： https://www.cnblogs.com/Sunzz/p/11936309.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。