Linux服务器被入侵后的检测过程详细资料分享.doc
《Linux服务器被入侵后的检测过程详细资料分享.doc》由会员分享,可在线阅读,更多相关《Linux服务器被入侵后的检测过程详细资料分享.doc(3页珍藏版)》请在三一文库上搜索。
1、Linux服务器被入侵后的检测过程详细资料分享故事是这样的,大年初一,客户反应他们服务器无法访问,查看路由,发现某oracle+tomcat服务器UDP流量超大,把带宽占完了,过年嘛,客户那边先找了当地的技术人员弄了几天没搞定,然后没办法大年初三的找我们弄顾客是上帝!其实吧以前也遇到过这类攻击,当时某IDC都被打瘫了,只不过马儿不在我们的设备上,所以没过多关注001 查找木马首先SSH登陆,top查看进程,发现奇怪名字的命令gejfhzthbp,一看就感觉有问题。lsofcgejfhzthbp查看关联文件,发现对外的tcp连接,不知道是不是反向shell执行命令Whereisgejfhzthb
2、p ls-algejfhzthbp查看文件路径。并查看文件创建时间,与入侵时间吻合。顺便把文件拷贝下来放到kali虚拟机试了下威力,几秒钟的结果如下之前还以为是外国人搞的,这应该能证明是国人搞的了002 恢复业务首先kill进程,结果肯定没那么简单,进程换个名字又出来了中间尝试过很多过程,ps ef |grep 发现父进程每次不一样,关联进程有时是sshd,有时是pwd,ls,中间装了个VNC连接,然后关闭ssh服务,同样无效,而且kill几次之后发现父进程变成了1 ,水平有限,生产服务器,还是保守治疗,以业务为主吧既然被人入侵了,首先还是把防火墙的SSH映射关掉吧,毕竟服务器现在还要用,还是
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Linux 服务器 入侵 检测 过程 详细资料 分享
链接地址:https://www.31doc.com/p-3255380.html