本文主要是介绍黑客攻防之可疑文件还原【一】,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
在一般的攻防对抗中,常常会遇到机器上被放了后门的情况,但这些文件一般是经过处理的,无法直接看出问题所在,这样增加了入侵检测的难度,下面我把入侵检测中真实遇到的例子,结合我之前的一些经验分享给大家,希望大家能对入侵检测有些新的认识,文中的不当之处,也希望大家能联系我纠正,谢谢!假设我们检测到了机器10.125.7.191有异常,下面需要对异常进行确认,并找到攻击者是如何利用漏洞的。
第一步,登录10.125.7.191,查看当前的网络连接情况sudo netstat -anlput,发现了可疑的监听:
可疑进程id是17498.
第二步,查看此进程的详细信息,sudo ls -l /proc/17498| grep cwd
查看父进程id,ps elf | grep 17498
查看父进程的命令行参数:cat /proc/17490/cmdline
至此,已经能看到文件是在/tmp目录下,父进程是通过bash命令先编译了b.c然后又删除了b.c最后,后台执行了.b文件启动了端口监听。
第三步,进入到/tmp路径下,找到.b文件进行分析:
查看文件时,发现了两个可疑的隐藏文件:.a和.b
第四步,查看文件的类型,发现一个是pyc类型,一个是可执行文件:
而且在.a中发现了刚才命令中的执行的命令:
现在看来解开迷团需要从pyc找到突破口。
下一篇文章会花时间来进行第二阶段的分析。
这篇关于黑客攻防之可疑文件还原【一】的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!