通常在渗透中挖掘到了远程代码执行漏洞,攻击者会利用漏洞执行操作系统命令获得系统相关信息,也可写入webshel或者是直接反弹shell到攻击者监听的服务器。
上述的攻击行为也都是有特征可以做检测的,但是仅仅依据特征检测通常只能检测到探测攻击,每台流量检测设备每天的探测日志是海量的,安全运营人员很难从中获得价值信息。如果通过引擎关联上反弹shell的特征以及成功以后的后续动作即可去判断攻击成功服务器沦陷。以bash反弹shell为例:
被攻击的服务器执行代码成功后会反弹shell到172.16.50.123的2333端口:
linux 远程执行本地shell_流量检测如何实锤远程代码执行反弹shell成功
最新推荐文章于 2024-05-17 14:42:20 发布