伺服器SSH後門木馬查殺
關於SSH後門木馬查殺,那SSH協議其實它是一個加密的網路傳輸協議,通常我們們使用它作為Linux管理使用,那它用來傳輸命令介面和遠端執行命令,也就是我們們現在看到的這個介面,通常計算機被入侵之後,如果這個計算機是暴露在外網的,或者是橫向打穿了某一臺伺服器,以另一臺伺服器作為跳板跳到其他伺服器上。一般來說,透過SSH登陸會非常的方便操作命令這個時候是不是就有後門的誕生了。
比如我現在想要登入這臺伺服器,我就有賬號密碼,那看一下我們們現在這裡有什麼賬戶,只有一個whale Labe,這個賬戶就是我們們目前登入的,那攻擊者新建立一個賬戶可不可能,那是可以的,比如我現在建立一個叫hack,現在新建了一個賬戶,現在看不到,那這是第一種看到賬戶的方法。來看一下第二種,看這裡邊有兩個賬戶,其中是whale label和hack,hack我其實沒有設定密碼,這裡就不設定了。我給大家說的是這個檔案裡可以看到所有的賬戶 Linux是透過讀取這個檔案找到賬戶的,所以所有的賬戶必須在passwd裡邊。如果計算機多出來的使用者,它一定在這裡仔細排查這些賬戶,如果不是公司使用的賬戶,那麼及時和運維確認,看一下普及一下後邊的一個小知識。
我們們可以看到後邊有一些東西,那這都是做什麼的,看bin,這也是我們們最常見的bin/bash,就是我們們的這現在的命令操作這塊,它透過這個bash去執行你的命令和指令碼,那你登入的時候其實進入執行的程式,其實使用者空間就叫做bin。當然還有一些其他的第二個bin files,這個就是不可登入的賬戶,比如這個賬戶它雖然存在,但是以這個為字尾的是不能登入的,可以看看最近的登入記錄命令為last,看有無可以人員的登入,然後對比下bin目錄下的bash有無被替換,然後再看下sshd的程式有無向外自動連線之類的 ,如果還是找不到伺服器中的木馬後門的話可以向網站漏洞修復服務商尋求技術支援。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31542418/viewspace-2912599/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- linux伺服器上使用find查殺webshell木馬方法Linux伺服器Webshell
- 網站伺服器木馬後門查詢之威脅情報分析網站伺服器
- 伺服器中了木馬後門如何排查定時任務計劃伺服器
- 怎麼清理webshell木馬後門檔案Webshell
- CTF學習(17)MISC(後門查殺)
- 網站後門查殺檢測與清除網站
- “大灰狼”遠控木馬分析及幕後真兇調查
- 從剖析cs木馬生成到開發免殺工具
- SSH後門分析總結
- 扒了手機監控木馬後臺!
- Linux終端注意了!隱蔽性更強的後門木馬Rmgr來了Linux
- Linux挖礦木馬WorkMiner集中爆發,利用SSH暴力破解傳播Linux
- 木馬學習
- BetaBot 木馬分析
- 木牛流馬
- 從一個鎖主頁木馬裡挖出的驚天“暗殺黑名單”
- 一句木馬
- 硬體木馬(一)
- SSH軟連結後門利用和原理
- 一句話木馬免殺(截止2020年8月16日通殺D盾、安全狗,微步,webshellKiller)Webshell
- 雲伺服器遭到駭客入侵植入木馬病毒排查過程伺服器
- 伺服器被挖礦木馬攻擊該怎麼處理伺服器
- 快速定位挖礦木馬 !
- SSH:查詢
- 騰訊主機安全(雲鏡)兵器庫:斬殺挖礦木馬的利劍-BinaryAI引擎AI
- 如何防止Linux伺服器中木馬?防護步驟是什麼?Linux伺服器
- 揭祕“支付木馬”:鉅額黑產背後的操盤手
- Free Star木馬分析與追溯
- 黑狐”木馬分析報告
- 利用msfvenom生成木馬檔案
- 挖礦木馬清除日記
- SSH連線伺服器後執行多條命令伺服器
- 一封時效永久追殺令:白帽Cryptolaemus狙擊Emotet木馬的500個日夜
- Linux運維中如何對Linux伺服器進行防禦木馬措施?Linux運維伺服器
- 網站被黑如何恢復 如何查詢網站木馬程式碼 防止被黑網站
- Python編寫簡易木馬程式Python
- 記錄一次木馬排查
- [病毒木馬] 檔案自刪除