【应急响应】————7、服务器大量发包

最新推荐文章于 2024-05-13 22:59:15 发布
最新推荐文章于 2024-05-13 22:59:15 发布
阅读量624 收藏 1
点赞数
分类专栏: 【应急响应】 # Linux应急响应

背景

一哥们反应自己的测试机器总是关机,联系云主机客服得知服务器总是大量发包,导致技术关停该机器。

排查过程

Last查看登录记录

查找到一个可疑IP

[root@i-9kp9tipm dpkgd]# grep "1.180.212.21" /var/log/secure*
/var/log/secure-20170409:Apr  4 22:20:43 i-9kp9tipm sshd[25921]: Accepted password for root from 1.180.212.21 port 5777 ssh2
/var/log/secure-20170409:Apr  4 23:21:16 i-9kp9tipm sshd[29214]: Accepted password for root from 1.180.212.21 port 50625 ssh2
/var/log/secure-20170409:Apr  5 00:13:12 i-9kp9tipm sshd[31509]: Accepted password for root from 1.180.212.21 port 12305 ssh2
/var/log/secure-20170409:Apr  5 00:24:56 i-9kp9tipm sshd[32029]: Accepted password for root from 1.180.212.21 port 12334 ssh2

查看所有登录成功的记录

确认后得知119.254.100.106和124.207.112.10为正常IP,但是这哥们的Root密码也算是复杂。
既然Root被拿了,那么看一下常用命令呢

发现ps和netstat被替换

发现ss被替换

发现2进制程序pythno和.sshd,并且在bsd-port下也有两个可执行程序
在dpkgd目录下发现替换之前的命令

看一下.sshd文件的时间点。

用Strings查看一下

发现里面有很多IP地址。

查看下当前的连接:

发现了3个可以进程1742、1677、1683
看一下这些可执行程序在什么地方

发现这个ps看不到1742,然后我从自己主机上拷贝了一个ps过来,再执行下

这三个2进制程序

然后哥们反馈的是开机就会大量发包,来看下crontab,没有异常。查看rc.local没有异常。查看/etc/cron*没有异常。检查/etc/init.d的时候发现

/tmp下发现DDOS客户端文件

检查history没有发现操作记录。
检查mysql,发现密码简单123456,启动权限为mysql,plugin目录没有写入权限。
history中看到哥们之前有安装redis,且redis.conf中没有配置pass,检查/root/.ssh下没有发现异常,查看redis键未发现异常。
中间件是tomcat,发现/manager/html,没有账户。
项目为java项目,用到了struts2,检查struts2的版本

查看access log

没有发现异常

处理方式

1)加强SSH和Mysql密码,SSH限制IP访问,redis后期如果使用需配置认证。如无需对外提供服务,仅监听本地。
2)升级struts2到2.3.32版本
3)杀死进程

4)删除木马文件,拷贝正常命令

5)删除开机启动项

6)重启

FLy_鹏程万里
关注
专栏目录
从零至壹上贰弃叁得肆之综合渗透贯穿始终
战神/calmness的博客
01-03 615
描述 题目的意思是从0开始进行外网的渗透测试到达壹;之后进行内网漫游属于贰;应急响应是叁,应急响应中摒弃病毒、木马文件等,之后进行追踪溯源的操作,获取黑客信息属于肆;其次就是后期的运营方面的建设; 进行从开始的环境搭建步步紧跟,资料的查询,不断地思考,提升内在解决问题的能力;从而构造安全建设的内外体系的形成; 思路 kali 首先攻击win7【CMS】-横向移动发现win10和win2008-攻击域控win2012-拿下域控权限-进行应急响应去处置-之后溯源-找到黑客信息进行封杀-后期进行安全运营建
流量分析-Wireshark -操作手册(不能说最全,只能说更全)
路baby的博客
03-22 1万+
流量分析-Wireshark -操作手册(不能说最全,只能说更全) 基于各种比赛做的总解 基于协议过滤⼿法👍 常用筛选命令方法 常⽤快捷键👍 数据包筛选 顶峰相见
服务器发包方法解析
weew_pp的专栏
12-09 6510
在当今这个网络互联时代,将服务提供到网络是很重要的一部分,这里就要讲解一下在服务器发包的过程以及遇到相关问题的一些解决方法。 1  关闭服务 因为本地使用的是windows系统,可以使用"远程桌面连接"连接到服务器上,如下图所示,输入用户名密码就可以连接登录了。 登录之后找到tomcat的指定路径下的批处理shutdown.bat,双击关闭服务器tomcat的服务,如下图所示。 关闭
什么是服务器发包
qwhtgj的博客
12-27 2146
什么是服务器发包? @qwhtgj 服务器向外发包,一般是服务器被入侵了,或者说是网站[服务器租赁]被黑了。黑色技术利用服务器的流量,进行向外公鸡别人。 而我们服务器就相当于是黑色技术的肉鸡了。一般都是服务器或者网站存在漏Dev洞,被黑色技术利用并提权入侵的,导致服务器中木。。马,网站被挂黑Deutsch链,被篡、、改, 被挂马。@qwhtgj  解决办法:如果程序不是很大,可以自己比对以前程序的备份文件,然后就是修复,或者换个服务器,最好是独立服务器。@qwhtgj ...
服务器发包流程简介
wuqingdeqing的博客
10-28 6386
近日向同事了解了服务器发包的一些流程,加上自己的一些理解,这里做一些简述。 连接服务器可使用如Xshell一类的远程终端模拟软件,从而达到在window下访问服务器的需求。这边使用了MobalXterm。 在网上可搜到相应破解版,将软件下载后,打开即可运行。点击Session,点击SSH,输入你的服务器外网ip和用户名,进入后输入密码进入你的服务器。使用cd进入/app/你的服务器端口。在下载
网站服务器 发包,如何实现CentOS不停向外发包_网站服务器运行维护,CentOS
weixin_42502060的博客
08-13 557
linux设置开机进入图形界面_网站服务器运行维护linux设置开机进入图形界面的方法是:1、进入root用户;2、执行【systemctl set-default graphical.target】命令;3、重启linux系统,此时系统已经默认进入图形化界面。如何实现CentOS不停向外发包服务器不停的向外发包,且CPU持续100%,远程登录后查看发现有一长度为10的随机字符串进程,kill掉...
客户端,服务器发包走向
weixin_34018169的博客
11-16 150
多线程模式其实这个早看过了,在复习一下主线程创建四个子线程,一个线程一个event_base,专门派发这个有个监听线程,在监听线程收到连接之后轮询选择一个线程就交给他处理了,其实就这么简单 在看看包走向客户端发过来的加入以登录为例(不知客户端是不是走这一套)1.先打包成protocol形式2.在livevent里面有个100k的m_sendbuff,然后将这个protocol数据再封装一下就...
三中新教学楼信息系统集成方案
热门推荐
riddle922的专栏
10-29 1万+
第 1 章 用户需求分析信息化是我国现代化建设的组成部分,可以大大提高我国综合国力,它关系到各级政府部门,各经济、科技、文化机构,对整个社会的方方面面都会产生重要影响。目前,由国家各部委单位主持的国家金系列工程,就是要建立综合统计、产业经济、财税、投资、资源、能源、交通等综合信息系统,建立国民经济和国家办公决策支持系统。广州市第三中学信息网络的建设是为教学研究和教学数据积累提供的一个全面的信息基础
UCloud DevOpsWorkshop7.25---虚拟化项目运维实践.pdf
08-23
- 一整套解决方案应当包括监控、报警和应急响应等机制,以保障业务连续性和系统的稳定性。 性能数据的收集与分析: - 收集方法:采用脚本自动化收集服务器性能数据,通过网管平台统计压力数据,以对现有资源使用...
网络安全工程师面试题整理
m0_67393686的博客
07-30 7338
网络发现和安全审计工具主机发现端口扫描应用程序和版本探测操作系统探测-p指定端口扫描-sTtcp扫描-sPping扫描-Pn不进行ping扫描-o操作系统探测。
禁止服务器对外发包
05-11
四个安全策略,防止服务器对外发包,使用这些策略后,你也就不能在服务器使用浏览器访问外部的网页了,加强了服务器安全!
数据库应急预案
06-27
数据库应急预案数据库应急预案数据库应急预案数据库应急预案
服务器发包压力测试工具集合
03-05
集成市面上最好用的服务器发包软件,专门发包服务器量身打造!工具箱里集成的软件都是本人珍藏,保证绿色无毒,且威力巨大,包含了SYN,UDP,蜗牛,以及单机流量监控软件,都是非常实用的东西,大家可以自己体验一下!
大量发包
翻过这座山,就到菩提洞了
12-15 340
一、对于Linux系统 用iptables拦截对外的udp包,禁止phpddos对外发包,避免服务器大量消耗流量. 1、禁止本机对外发送UDP包 iptables -A OUTPUT -p udp -j DROP 2、允许需要UDP服务的端口(如DNS) iptables -I OUTPUT -p udp –dport 53 -d 8.8.8.8 -j ACCEPT ...
mysql爆破应急响应_服务器被入侵后的应急响应
weixin_30516835的博客
02-08 520
前言应急响应一般是发现服务器被入侵、个人重要信息被窃取、系统拒绝服务、网络流量异常等各种意外事件。本文主要讲一下linux应急响应中的一下常用方法,仅代表个人观点应急响应日志文件分析系统日志:message、secure、cron、mail等系统日志/var/log/secure,/ar/log/wtmp,var/log/message:jihu**/var/log/secure**:记录登录系统...
MySQL日志安全分析技巧
systemino的博客
06-23 269
常见的数据库攻击包括弱口令、SQL注入、提升权限、窃取备份等。对数据库日志进行分析,可以发现攻击行为,进一步还原攻击场景及追溯攻击源。 0x01 Mysql日志分析 general query log能记录成功连接和每次执行的查询,我们可以将它用作安全布防的一部分,为故障分析或黑客事件后的调查提供依据。 1、查看log配置信息 showvariableslike'%general%...
Tomcat 7 通过控制台发包报上传包过大错误
weixin_33770878的博客
08-24 93
报错日志:Deploy Upload Failed, Exception: org.apache.tomcat.util.http.fileupload.FileUploadBase$SizeLimitExceededException: the request was rejected because its size (56101167) exceeds the con...
【玄机】-----应急响应
最新发布
m0_63138919的博客
05-13 4143
玄机应急响应 题解 一起学习
Socket服务端一直收空包的原因与解决方法
weixin_30500473的博客
05-30 1356
最近做socket服务端,大部分时候系统是正常的,但是运行个一段时间就会一直以超高的频率收到很多数据,一开始以为是下位机上报的,没怎么上心,后来下位机工程师说他们没上报,所以重新看了下代码,发现程序会一直调用netStream.BeginRead,EndRead,一直收数据,而且受到的数据包都是0字节,百度了20分钟,大神们说socket客户端正常关闭的时候服务端会收到一个长度是0的数据包,如果...
简单的发包工具——网络协议编辑器Java
09-12
网络协议编辑器是一个用于创建、编辑和发送网络协议数据包的工具。在Java中,你可以使用一些库来实现一个简单的网络协议编辑器。 一个常用的Java库是Netty,它提供了用于构建高性能、可扩展的网络应用程序的API。你可以使用Netty来创建一个网络协议编辑器,并使用它发送自定义的网络协议数据包。 下面是一个简单的示例代码,演示了如何使用Netty发送自定义的网络协议数据包: ```java import io.netty.bootstrap.Bootstrap; import io.netty.channel.ChannelHandlerContext; import io.netty.channel.ChannelInboundHandlerAdapter; import io.netty.channel.ChannelInitializer; import io.netty.channel.ChannelOption; import io.netty.channel.EventLoopGroup; import io.netty.channel.nio.NioEventLoopGroup; import io.netty.channel.socket.SocketChannel; import io.netty.channel.socket.nio.NioSocketChannel; public class ProtocolEditor { private String serverHost; private int serverPort; public ProtocolEditor(String serverHost, int serverPort) { this.serverHost = serverHost; this.serverPort = serverPort; } public void sendPacket(byte[] packetData) { EventLoopGroup group = new NioEventLoopGroup(); try { Bootstrap bootstrap = new Bootstrap() .group(group) .channel(NioSocketChannel.class) .option(ChannelOption.TCP_NODELAY, true) .handler(new ChannelInitializer<SocketChannel>() { @Override protected void initChannel(SocketChannel ch) throws Exception { ch.pipeline().addLast(new ChannelInboundHandlerAdapter() { @Override public void channelActive(ChannelHandlerContext ctx) { ctx.writeAndFlush(packetData); } }); } }); bootstrap.connect(serverHost, serverPort).sync().channel().closeFuture().sync(); } catch (Exception e) { e.printStackTrace(); } finally { group.shutdownGracefully(); } } public static void main(String[] args) { String serverHost = "127.0.0.1"; int serverPort = 8080; // 创建一个 ProtocolEditor 对象 ProtocolEditor editor = new ProtocolEditor(serverHost, serverPort); // 构造自定义的网络协议数据包 byte[] packetData = new byte[]{0x01, 0x02, 0x03}; // 发送网络协议数据包 editor.sendPacket(packetData); } } ``` 上述代码中的 `sendPacket` 方法用于发送自定义的网络协议数据包。你可以根据自己的需求修改和扩展该方法来实现更复杂的功能。 希望以上信息对你有帮助!如果你还有其他问题,请随时提问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值