网络安全学习第164天
前言:
就是说学习挖矿病毒木马寻找,以及入侵原理,以及应急,后续清理
正题:
小迪安全演示的是xmr挖矿病毒,挖的门罗币
入侵的有以下几种方式(也就是常规后门之类,然后植入挖矿程序,以及后续的权限维持)
通过服务器的漏洞
1、ssh弱口令爆破
2、mysql、redis服务之类弱口令,未授权获取权限
通过服务器搭建的web程序,web程序中的漏洞
1、web程序,如网站上的漏洞
2、搭建的pikachu、dvwa靶场,忘记关了,导致被上传木马
入侵的步骤
1、先再web程序找到漏洞i点
2、上传木马,自动化脚本程序,自动下载挖矿程序
3、后续做一些权限维持,如写入定时任务(cronb),写入启动项
挖矿程序的清理步骤
1、先使用top命令,找到占用高的挖矿程序
2、使用find / -name 命令,搜素程序的位置,删掉
3、使用cronb,查看定时任务,删掉挖矿程序的定时任务
4、删除webshell后门,修复原始漏洞
总结
有一点没懂的地方就是,小迪说不能用cronb看,不全,要找到那个目录,把定时任务都删完
/etc/crontab | 系统级定时任务 |
/etc/cron.d/* | 独立任务文件(最常见隐藏地) |
/etc/cron.hourly/* | 每小时执行 |
/etc/cron.daily/* | 每天执行 |
/etc/cron.weekly/* | 每周执行 |
/etc/cron.monthly/* | 每月执行 |
/var/spool/cron/crontabs/root | 但如果你不是 root,也看不到 |
有兴趣学习,看漏洞报告,可以关注我交流学习