首页 > 基础设施 > 正文

分析:Linux服务器被黑的过程

2012-06-06 11:02:43  来源:zol

摘要:最近遇到一个服务器被hack的问题,服务器变成了肉机,不断尝试破解其他机器的帐号。下面我们通过分析黑客在服务器上留下的工具,了解入门的hack方法、学习相应的防范措施。
关键词: Linux服务器

    引言


    最近遇到一个服务器被hack的问题,服务器变成了肉机,不断尝试破解其他机器的帐号。下面我们通过分析黑客在服务器上留下的工具,了解入门的hack方法、学习相应的防范措施。


    hack工具


    hacker登入一台被入侵的服务器,通常首先使用"w"命令查看登陆者信息、使用"passwd"命令修改当前用户密码,然后通过wget,获取提权和其他hack工具。hacker一般将工具解压到目录名以"."开头的目录中,达到隐藏的效果,以下是此次问题hacker在服务器上留下的“礼物”:


    linux:/tmp/.ssh#ll


    总计340


    -rw-r--r--1rootroot728906-0313:06pass_file


    -rwxr-xr-x1rootroot1727406-0313:20pscan


    -rw-r--r--1rootroot607106-0313:10pscan.c


    -rwxr-xr-x1rootroot30224006-0313:06screen


    -rw-r--r--1rootroot144406-0313:06sesion.php


    下面我们对以上各工具的作用逐一进行分析。


    远程会话管理工具screen


    screen主要用于管理多窗口、使进程与原始远程连接脱离。


    多窗口管理


[page]    有时我们需要执行一些比较耗时的程序,在这些程序运行结束后,我们才能操作终端。假如在耗时程序运行过程中,还想进行其他操作,那就需要另打开远程登陆终端。使用screen,可以避免打开多个登陆终端,下面来看使用screen模拟打开多个窗口的方法。


    在执行screen程序前,使用"who"命令可以查到A机器上有两个用户,分别从本地、远程登入:


    linux:/tmp/.ssh>who


    lx:02012-06-0310:59


    lxpts/02012-06-0313:05(192.168.1.102)


    通过远程pts/0运行screen后,进入一个新的命令操作窗口,并增加了一个远程登入:


    linux:/tmp/.ssh>who


    lx:02012-06-0310:59


    lxpts/02012-06-0313:05(192.168.1.102)


    lxpts/12012-06-0315:40


    在screen中,我们可以使用"ctrl+a+c"组合键创建新的窗口,使用"ctrl+a+n/p"组合键在窗口间来回切换。这样,当耗时程序被执行时,我们可以新建或切换到其他窗口,进行其他操作。


    脱离原始远程连接


    通过远程终端执行程序,程序尚未退出的情况下关闭远程连接,那么程序也会跟着中止。这将导致耗时程序尚未完成工作就退出、编辑中尚未保存的文件丢失。使用screen,可以达到进程不随远程连接关闭而退出的目的,这也是screen最主要的功能。


    在screen窗口下,我们执行一个程序:


    linux:/tmp/loop>./endless_loop


    running…www.2cto.com


    程序执行时,我们将远程登陆终端关闭,在服务器本地开启终端,可以看到远程终端已经关闭:


    linux:/tmp/loop>who


    lx:02012-06-0310:59


    lxpts/02012-06-0320:04(:0.0)


[page]    再来查之前通过远程拉起的endless_loop进程,可以看到其仍在运行,并且screen为其祖先进程:


    linux:/tmp/loop>ps-elf|grependless|grep-vgrep


    0Rlx4851458699800-926-20:24pts/100:00:32./endless_loop


    linux:/tmp/loop>ps-elf|grep4586|grep-vendless|grep-vgrep


    0Slx458645850800-4193wait20:02pts/100:00:00/bin/bash


    linux:/tmp/loop>ps-elf|grep4585|grep-vgrep|grep-v4586


    1Slx458510800-1036-20:02?00:00:00./SCREEN


    暴力破解帐号


    hacker费时费力入侵服务器,当然不会无欲无求,入侵服务器后,hacker要不获取服务器上的资料信息,要不就是将服务器变成肉机,用其破解更多服务器的帐号。暴力破解服务器帐号需要通过某一系统服务,例如pop3、ssh、telnet等,其过程可以分解为两个步骤。


第三十四届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:liangxuejuan

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。

友情链接
京ICP备16057460号-1
移动客户端
CIO时代iphone版 | CIO时代Android版
关注我们
Copyright © 2003-2021 CIO时代网版权所有
关于我们| 联系我们 | 版权声明| 友情链接| 网站地图