事例描述
早上接到 IDC 的 *** ,说咱们的一个网段 IP 不断的向外发包,应该是被进犯了,详细哪个 IP不知道,让咱们检查一下。
按理剖析及解决办法
首要咱们要先确定是哪台机器的网卡在向外发包,还好咱们这边有 zabbix 监控,我就一台一台的检查,发现有一台的流量跑满了,问题应该呈现在这台机器上面。
我登录到机器里边,检查了一下网卡的流量,我的天啊,竟然跑了这个多流量。
这台机器主要是运转了一个 tomcat WEB 服务和 oracle 数据库,问题不应该呈现在 WEB 服务和数据库上面,我检查了一下 WEB 日志,没有发现什么反常,检查数据库也都正常,也没有什么过错日志,检查体系日志,也没有看到什么反常,可是体系的登录日志被铲除了,
我赶忙检查了一下现在运转的进程状况,看看有没有什么反常的进程,一检查,公然发现几个反常进程,不仔细看还真看不出来,这些进程都是不正常的。
这是个什么进程呢,我每次 ps -ef 都不相同,一直在改变,进程号一一直在改变中,我想看看进程打开了什么文件都行,一时无从下手,想到这儿,我忽然意识到这应该都是一些子进程,由一个主进程进行办理,所以看这些子进程是没有用的,即使我杀掉他们还会有新的生成,擒贼先擒王,咱们去找一下主进程,我用 top d1 实时检查进程运用资源的状况,看看是不是有反常的进程占用 cpu 内存等资源,发现了一个古怪的进程,平常没有见过。这个应该是咱们寻觅的木马主进程。
我测验杀掉这个进程, killall -9 ueksinzina ,可是杀掉之后 ps -ef 检查仍是有那些子进程,莫非没有杀掉?再次 top d1 检查,发现有呈现了一个其他的主进程,看来杀是杀不掉的,要是那么简单杀掉就不是木马了。
咱们看看他究竟是什么, ”which obgqtvdunq” 发现这个指令在 /usr/bin 下面,屡次杀死之后又从头在 /usr/bin 目录下面生成,想到应该有什么程序在监听这个进程的状况也可能有什么守时使命,发现进程死掉在从头履行,我就依照现在的思路检查了一下 /etc/crontab 守时使命以及 /etc/init.d发动脚本,均发现有问题。
能够看到里边有个守时使命 gcc4.sh ,这个不是咱们设定的,检查一下内容愈加古怪了,这个应该是监听程序死掉后来发动的,咱们这边把有关的装备悉数删掉,而且删掉 /lib/libudev4.so 。
在 /etc/init.d/ 目录下面也发现了这个文件。
里边的内容是开机发动的信息,这个咱们也给删掉。
以上两个是一个在开机发动的时分发动木马,一个是木马程序死掉之后发动木马,可是现在咱们杀掉木马的时分木马并没有死掉,而是马上替换姓名切换成另一个程序文件运转,所以咱们直接杀死是没有任何用途的,咱们意图便是要阻挠新的程序文件生成,首要咱们撤销程序的履行权限并把程序文件成成的目录 /usr/bin 目录确定。
chmod 000 /usr/bin/obgqtvdunq
chattr +i /usr/bin
然后咱们杀掉进程 ”killall -9 obgqtvdunq” ,然后咱们在检查 /etc/init.d/ 目录,看到他又生成了新的进程,而且目录改变到了 /bin 目录下面,和上面相同,撤销履行权限并把 /bin 目录确定,不让他在这儿生成,杀掉然后检查他又生成了新的文件,这次他没有在环境变量目录里边,在 /tmp 里边,咱们把 /tmp 目录也确定,然后完毕掉进程。
到此为止,没有新的木马进程生成,原理上说是完毕掉了木马程序,后边的作业便是要清楚这些目录发生的文件,通过我寻觅,首要铲除 /etc/init.d 目录下面发生的木马发动脚本,然后清楚 /etc/rc#.d/ 目录下面的衔接文件。
[1] [2] 黑客接单网
网上有许多关于CSRF High等级的通关记载,可是都有一个缺点,没有做到主动触发修正暗码。这儿记载了我在解题时的思路,趁便共享出来抛砖引玉,期望大佬们不吝赐教哈 0×00 简略剖析一下CSRF后端...
Webshells Webshell用于与受感染服务器交互。走漏数据中包含了三个webshell,分别为HyperShell、HighShell和Minion,Minion很可能是HighShell的...
几周前我对某个手机银行使用进行测验。这个app用了一个结构,这个结构能够混杂、加密app与服务器进行的TLS衔接。我用Frida截获了加密环节之前的明文恳求/呼应。我期望能够修正截获的API调用,然后...
二十多年来,跨站脚本(简称 XSS)缝隙一直是干流网站的心头之痛。为什么过了这么久,这些网站仍是对此类缝隙束手无策呢? 关于最近 eBay 网站曝出的跨站脚本缝隙,你有什么主意?为什么会呈现这样的漏...
虚拟机地址:https://www.vulnhub.com/entry/game-of-thrones-ctf-1,201/ 这个靶机的难度较高,进程并不是趁热打铁,所以经过了屡次替换网络和IP的进程...
大约十年前,Firesheep制作了一个大新闻。多年来,安全人员现已了解了公共WiFi网络的损害,但直到有人创立了这个用户友爱的Firefox扩展插件之后,这个安全问题才得到了人们的重视。从那时起,网...