周五早上刚到公司，同事来问我系统为啥打不开了？我之一反应就是肯定 Nginx 服务器挂了呗，立马就去登录服务器看看，但此时发现已经完全远程登录不上这台部署了 Nginx 和 Redis 的服务器了，此刻心理活动如下：

　　难道服务器欠费了？

　　难道服务器到期了？

　　都不对阿，一起买的一堆服务器就单单这一台有问题，肯定是这台服务器挂了吧？

　　同事马上登录美团云管理后台看了下，当时我们也猜测估计是什么软件占用了系统大量内存或CPU，果然在管理后台发现这台机器 CPU 使用率巨高。

　　在完全远程登录不上服务器的情况下，此刻是无法做任何操作的，除了通过管理后台重启这一条路可走之外，所以我们选择重启了服务器。重启完各种软件后并没发现没有任何异常，这时候我们部门不仅人美技术也牛的花姐说了一句这么开玩笑的话，大家都哈哈一笑后就开开心的去吃中午饭了。

　　吃完中午饭，我睡了一会儿，梦里好像看到黑客在对我笑，醒来看到花姐说的那个 gpg-agentd 进程比较高后，就随手搜了一下这个进程， *** ，流弊阿...

　　看到这个后，我丢在了群里后，大家震惊了，原来服务器真的在用来挖矿了。随后就和不仅开车 666 修 bug 也是老司机的 Jack 一起与挖矿脚本进行了斗争，我们首先在 *** 上找了一篇类似的文章：记一次Redis数据库漏洞被入侵现象，这哥们儿和我们遇到的是同一个被黑的套路，简单总结具体黑客操作如下：

　　利用了 redis 特性可以把缓存内容写入本地文件的漏洞，他就可以随便在服务器的

　　文件中写入公钥，在用本地的私钥去登陆被写入公钥的服务器，就无需密码就可以登陆，登录之后就开始定期执行计划任务，下载脚本，更牛逼的是，他还可以利用

　　masscan 进行全网扫描redis 服务器 6379 的端口，寻找下一个个肉鸡，如果你的 redis

　　端口是默认6379，并且还没有密码保护，很容易就被攻破解，最后也就是说这个脚本会迅速在全网裂变式增加。

　　那么问题来了，我们的服务器 redis 是有密码的，到底是怎么在 authorized_keys 写入公钥的？

　　首先猜到的肯定就是密码泄漏了呗，看了眼我们密码，大小写加数字随机生成的，不容易破解阿，暴力破解？敲了个 lastb 命令看了一眼后，被扫了五十万次次次，我们信了这个暴力破解暴力破解暴力破解 。。。

　　找到了原因，但还没清楚黑客到底是怎么黑进来的？入侵后具体都做了什么事，下面就大概还原下黑客视角入侵全过程，首先看到的就是多了个定时任务。

　　然后，curl 命令请求下这个地址后，发现这个脚本（这个脚本简直 666 ）全内容如下：

　　之一步，先在文件中生成ssh公钥，黑客以后无需密码就可以登录了，简直给自己铺路搭桥666；

　　第二步，建立定时任务，作用是每20分钟去他们服务器再次下载这个脚本，然后执行，这一步简直就是让自己杀不死；

　　第三步，开机启动项也加入下载脚本命令，也就是你重启后会自动下载， *** ...

　　接下来，又改了 限制，最重要的是这个脚本还记得去清除上述所有操作，不留下痕迹，佩服！！！

　　这个脚本执行完，后面再去执行其他三个脚本，把这个几个脚本都下载下来后，我们接着分析

　　这个脚本，只有一个作用，就是去下载真正的挖矿文件，也就是占用 CPU 居高的那个 ，操作也是很流弊的，删除所有操作记录和文件，这个黑客也是处女座？不留下一丝痕迹。

　　正常人来干这挖矿这件事的话，应该到这一步就可以打完收工了，因为已经安装成功挖矿软件了。那你要这么想、这么做，你不适合当黑客。更流弊的操作来了！！！

　　第三个脚本，这里他就是贴心的给你安装、升级 gcc、libpcap 和 apt-get 等软件命令，他真的这么好么？其实他是为了顺手下载了一个名字叫 masscan 的软件，然后装了上去，同时也顺手做了处理现场操作，在下佩服！！

　　那这个 masscan 是干嘛的呢？

　　据说 masscan 是最快的互联网端口扫描器，最快可以在六分钟内扫遍互联网。

　　第四个脚本来了，这个脚本就是用masscan来扫redis 的 6379端口，对redis进行配置，利用了redis把缓存内容写入本地文件的漏洞，在文件中写入公钥，登录之后就开始定期执行计划任务，下载脚本。

　　看完整个脚本操作，最后也就是说黑客不仅仅是用了你电脑挖矿这一件事，还把你电脑作为攻击者，去寻找另外的服务器，所以这个脚本会迅速在全网裂变式让服务器中招，这波操作也更 666 了...

　　最近在学习区块链相关知识，感兴趣可以关注下我自己的号。

　　看完这波操作，我突然也想去试试挖矿了...

　　一般来说，现在的黑客它是如何入侵到服务器的呢？入侵服务器到底难不难的，我们应该在服务器端进行怎样的防护呢？我们今天主要介绍一下黑客是如何入侵服务器的。

　　暴力密码攻击

　　最常见的破坏服务器的 *** 是暴力密码猜测。这是通过使用一个脚本来实现的，该脚本尝试使用常用用户名和常用密码列表登录服务器上的服务。虽然这样做是为了获得对服务器上的管理系统（如Linux上的SSH和Windows上的RDP）的访问权限，但它也针对需要登录的其他服务（如FTP和电子邮件）执行，在这些服务中，用户的登录详细信息可以推断出来，而不会对入侵行为发出警报。一旦黑客找到正确的密码，成功登录后，他们就可以在服务器上为所欲为了。

　　软件漏洞

　　下一个最常见的 *** 是利用服务器上软件中的漏洞。白帽黑客和黑帽黑客都花了很多时间试图在最常用的软件中寻找漏洞。白帽黑客搜索漏洞，使软件更安全，而黑帽黑客利用这些漏洞，然后创造工具，获得访问计算机的权限。搜索漏洞成为一场白帽黑客与黑帽黑客的竞赛，黑帽黑客试图在白帽子找到漏洞之前建立可用的漏洞，或者软件创建者可以编写补丁来填补漏洞。

　　最危险的漏洞攻击称为零日漏洞攻击，指的是“零日”，即软件创建者发现该漏洞并开始修复该漏洞的日期。因此，这些漏洞的利用几乎可以保证是有效的。请注意，这并不意味着已知的漏洞攻击就不那么危险，因为这需要对软件进行修补或采取适当的解决 *** 来保护它们。黑客会试图利用一系列已知和未知的漏洞来破坏服务器。

　　需要注意的是，如果运行 *** 服务器，那么它们可能出现在运行的服务器上的软件上，以及网站软件上。例如，由于其受欢迎程度，黑客不断地利用WordPress进行攻击，这就是常见的网站SQL注入攻击。相关阅读，用户在选择虚拟主机应该怎样降低相关风险。

　　SQL注入

　　SQL注入涉及攻击者将SQL（结构化查询语言）数据库代码输入到网站的URL或表单字段中。通过测试表单、数据输入和页面的多种组合，它们最终可能会碰到一种组合，这种组合返回错误的代码，并在代码后面提供有关数据库的信息。然后，他们将利用这个缺陷从数据库中获取尽可能多的数据，例如用户数据，包括电子商务网站上的付款细节。或者，他们可以用它来更改用户数据，从而控制网站。

　　除了这些破坏安全性的典型方式之外，还有更困难的黑客入侵类型。例如，这类 *** 包括一些攻击，例如社会工程学，黑客在试图更改服务器密码时作出伪装，或者冒充技术支持人员来欺骗用户交出关于服务器的详细信息。他们可能会对用户进行鱼叉式 *** 钓鱼攻击，希望能收集到密码或其他有用的信息。他们甚至可能试图强迫用户在电脑上安装恶意软件，带有针对性的电子邮件或受感染的USB密钥。除非用户的服务器被看作是黑客特别高价值的目标，否则不太可能遇到这些直接攻击 *** 。

　　以上就是对黑客如何攻击服务器的全部内容。下一次内容将讨论用户能做些什么来阻止他们的入侵。若想与一个视安全高于一切的虚拟主机合作，请立即访问Hostease官网，查看具体的方案。当然，互联网安全也确实影响到每个用户，有兴趣的朋友可以了解一下 美国高防服务器它是怎样保护网站安全的。

图片查看：
查询分类：	服务器搜索控制
用户提问：	黑 *** 务器
状态：	已解决
调查用时：	982小时

黑客如何找到一个人

　　原标题：黑客如何通过手机追踪一个人？

　　“前一段时间在新闻上看到有个男的被女网友纠缠，换手机都甩不掉，改密码也没用，有可能吗？”

　　其实这篇新闻小编当时也看过，其实里面疑点重重，新闻报道的也不全面，信息太少，所以这里面有很多不确定的因素。单纯的从技术角度来讲，刨除对方是不是因为脑洞太大而产生的被迫害妄想症，或者是这个人是他身边的人他老婆，再或者是这个人在炒作等等原因。单纯的从技术的角度来说，这个是存在可行性的。

　　新闻中提出这位受害者一直被影随了六年，说句实话，这位女网友也是挺无聊的，持续六年的APT（高级持续性威胁），而且对象还是一位普通人，手机时代都从塞班走向苹果安卓系统了，也是厉害的不得了，自身技术提升也是蛮厉害的。咳咳，不吐槽了，先聊正事。

　　那么下面就开始聊正事了，有没有可能在你更换手机，改密码，还会被对方继续跟踪破解密码并且得知你手机的一些操作情况？这个是有可能的，但是这个需要很多前提的。如果对方是一位真正的hacker，其实如果做出这种事情的话应该称为骇客了，且不管是什么称呼了。对方可以通过掌握常用手机APP的0day exploit，也就是代码执行漏洞就可以入侵使用的手机设备。例如前一段时间安卓libstagefright媒体库漏洞，黑客可以通过发送一段有特殊格式的视频到用户的手机，差不多就能获取用户手机的控制权。

　　而文中所述，更换手机号，更换密码，更换手机后还会继续被追踪到，那么不排除是不是对方使用了蠕虫病毒对手机以及电脑等其他设备进行感染。当新换手机后，通过电脑继续对新的手机进行交叉感染，一旦手机被感染，那么一切都不是问题了。再就是通过了解到受害者的活动信息，在受害者周围建立伪基站，并诱导受害者进行连接，通过伪造界面等等方式，继续将病毒渗入用户手机内部。

　　而第二种方式则是通过之一次注入病毒后利用一些常用的文件的漏洞（exploit），并对其重要文件植入一段代码（shellcode），使其被追踪者再次更换手机，手机号之后点开这个文件继续被植入病毒。

　　其中有很大可能是受害者使用的是一些老版的系统或者是过期的应用，通过得到这些过期的手机系统，应用的exploit，直接绕过杀毒软件，继续对手机注入病毒，从而控制手机。

　　最后，假如这个攻击者是真实存在的，并且耗费无数精力，对一个普通人进行这种持续性高频的APT，而且还不是获利，小编不得不吐槽一句，真够无聊的！哪怕你去骇的人是一个帅的突破天际的人，小编也无话可说。

　　来源：网易手机

其他问题提问	相关问题回答
从哪里可以找到真正的黑客	查询犯罪材料
24小时接单的黑客棋牌	分辨率web环境
求黑客联系方式便宜的	平台黑客利用
怎么联系黑客微信	记录工作中心
24小时在线黑客在线	*** 打开大全