linux集群假肉鸡上线,一次惊心动魄的linux肉鸡入侵检测经历(3)

于 2021-05-14 10:01:06 发布
阅读量226 收藏
点赞数
文章标签: linux集群假肉鸡上线

一次惊心动魄的linux肉鸡入侵检测经历(3)

作者:佚名

编辑:李莲

2007-08-14 15:21

评论

分享

看到这里,我忍不住ps和netstat了一下,发现了这两个东西

引用: root15840.00.0185268?SNov170:00/sbin/ttyload-q

root15860.00.01500168?SNov170:26ttymontymon

[root@victimroot]#netstat-anp

ActiveInternetconnections(serversandestablished)

ProtoRecv-QSend-QLocalAddressForeignAddressStatePID/Programname

tcp000.0.0.0:313380.0.0.0:*LISTEN1584/ttyload

tcp000.0.0.0:800.0.0.0:*LISTEN1702/httpd

tcp000.0.0.0:220.0.0.0:*LISTEN1516/sshd

tcp00127.0.0.1:250.0.0.0:*LISTEN1540/

raw000.0.0.0:10.0.0.0:*71586/ttymon

raw131200.0.0.0:10.0.0.0:*71586/ttymon

我们注意一下pid为1584和1586的两个进程,它们一个开了31338端口,一个起了rawsocket,估计两个都是后门,一个bindport的,一个是sniffer的后门,接着我们lsof看看,呵呵,都现形了吧。

引用: [root@victimroot]#lsof-n-p1584

COMMANDPIDUSERFDTYPEDEVICESIZENODENAME

31584rootcwdDIR8,340962/

31584rootrtdDIR8,340962/

31584roottxtREG8,3652620212994/tmp/sh-DJYK3MJABRP(deleted)-->这个是upx压缩后的特征之一。

31584rootmemREG8,310304412828674/lib/ld-2.3.2.so

31584rootmemREG8,39160412828689/lib/libnsl-2.3.2.so

31584rootmemREG8,32366812828683/lib/libcrypt-2.3.2.so

31584rootmemREG8,31269612828711/lib/libutil-2.3.2.so

31584rootmemREG8,3153106413991938/lib/tls/libc-2.3.2.so

31584root0uCHR1,367051/dev/null

31584root1uCHR1,367051/dev/null

31584root2uCHR1,367051/dev/null

31584root3uIPv41798TCP*:31338(LISTEN)

[root@victimroot]#lsof-n-p1586

COMMANDPIDUSERFDTYPEDEVICESIZENODENAME

ttymon1586rootcwdDIR8,340962/

ttymon1586rootrtdDIR8,340962/

ttymon1586roottxtREG8,39347643663399/sbin/ttymon

ttymon1586rootmemREG8,310304412828674/lib/ld-2.3.2.so

ttymon1586rootmemREG8,35247212828695/lib/libnss_files-2.3.2.so

ttymon1586rootmemREG8,3153106413991938/lib/tls/libc-2.3.2.so

ttymon1586root3uraw179900000000:0001->00000000:0000st=07

验证一下那两个后门: [root@victimroot]#nclocalhost31338

SSH-1.5-2.0.13

明显,这个ssh后门,估计是读那个/etc/sh.conf作为密码的。rawsocket那个我暂时想不到咱们验证,因为一来不知道他抓的什么包,icmportcp,二来也不知道他抓的包的特征。霸王硬上弓吧。先执行一下。

0

HAR.王帅真
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux服务器沦陷为肉鸡的全过程实录
java面试笔试
01-17 405
Java面试笔试面经、Java技术每天学习一点Java面试关注不迷路作者:kluan来源:https://www.cnblogs.com/kluan/p/4810366.html1、从防...
Linux服务器沦陷为肉鸡的全过程实录,2024年最新2024-2024历年华为跳动软件测试面试真题解析
最新发布
2401_84254196的博客
04-15 608
var/log/messages、/var/log/secure都是必不可少的分析目标,然后就是.bash_history命令记录。所以最先分析 /var/log/secure日志,看登录历史。2 vi .bash_profile (查看.bash_profile,看变量设置,把/home/oracle/bin增加到PATH)分析/var/log/secure日志。16 ls -a (查看/home/oracle/下的隐藏文件)
kali linux肉鸡教程,简单扫4899端口捉肉鸡菜鸟教程详细版
weixin_29513805的博客
05-02 3129
简单扫4899端口捉肉鸡 (菜鸟教程详细版)大家好。我是☆黑色毛衣☆。今天做的是简单扫4899端口捉肉鸡,只要把工具用好。找端口肉鸡不难可能有些扫135端口的扫描不了。这样就试试4899吧。因为扫135端口有些地方限制了。所以扫描不了。好了,话不多打。我们今次用到的工具有:1.S扫描器 (端口扫描器)2.4899过滤器 (过滤4899端口空密码主机专用)3.radmin (一个远程控制软件)4.免...
查看电脑是否被肉鸡
热门推荐
Yama的博客
06-08 1万+
电脑安全重中之重,被人肉鸡了,如果挖矿用于DDOS啥的可就不好了 (我最怕的是,摄像头被后台启动) .关闭所有联网软件和自动更新 ,查看端口外部地址连接 (有些软件会连接外部连接如FileZilla网远程主机上传文件“它是网站文件上传工具”) win+r 打开运行输入cmd 命令:netstat -ano 看LISTENING对应外部地址是否被连接,如果外部地址不是0.0.0.0:0 或者 [::]:0,那么你的电脑很可能已经是别人的肉鸡了(眼睛尖一点,我一般一周看一次,不是只有上面这么一点,下面也会有
利用LINUX集群实现高速网入侵检测.pdf
09-07
Linux集群实现高速网入侵检测】 随着信息技术的快速发展,网络安全成为了至关重要的问题。尤其是在高速网络环境中,传统的入侵检测系统(IDS)由于处理速度的限制,往往无法有效地应对大量的网络流量,导致潜在的...
Linux集群大全
02-03
RawnShah作为专家,在Linux现有的开放源码和封闭源码集群解决方案方面为您指点迷津。计算Linux集群项目的数量就象计算硅谷中创业公司的数量一样。不象WindowsNT已经受其自身的封闭环境阻碍,Linux有大量的集群系统...
25000Linux集群+去后门补丁+vc补丁
08-02
这是别人放出来的正版25000集群 不用说又是跟36000一样放出来收后门量的 现在还少有人手里有,有也是后门 别人笑我太疯癫,我笑他人看不穿。都不用去想后门货 测试了确实是正版25000的主控和Linux小马当然也带后门 ...
Linux集群与存储工程师实战
03-15
Linux集群与存储工程师实战
Linux集群实时监控系统的一种实现方法.pdf
09-06
本文提出了一种Linux集群实时监控系统的设计与实现方法,通过周期性采集节点的CPU和内存使用情况等关键信息,经过处理后通过socket通信传递给监控服务器。 监控系统的整体设计包括两个主要部分:运行在管理节点上的...
linux集群肉鸡上线,一种肉鸡水线调节装置的制作方法
weixin_36467992的博客
05-14 191
本实用新型涉及畜牧养殖设备技术领域,具体为一种肉鸡水线调节装置。背景技术:现有技术中,养禽设备使用的水线调节装置包括绞盘、主钢丝绳、提升钢丝绳和弹簧,通过绞盘转动缠绕钢丝绳,弹簧弹性拉回钢丝绳,实现水线的提升。其存在以下缺陷,第一,弹簧使用时间久会出现弹性失效或变形;第二,弹簧和钢丝绳属于柔性连接,固定的位置不稳定;第三,绞盘在使用时不方便且不美观;第四,制作成本高。为此,我们提出一种肉鸡水线调节...
linux肉鸡入侵详细教程,实战案例【Linux服务器沦陷为肉鸡处理全程实录】视频教程...
weixin_39989190的博客
05-02 562
本课程通过实战教学方式,现场讲解这种Xor.DDoS木马入侵的现象、入侵的方式、入侵的原因和解决防御的措施。1、解决线上Linux服务器故障的思路和方法2、Linux服务器沦陷为肉鸡处理全程实录【问题现象与分析】3、Linux服务器沦陷为肉鸡处理全程实录【故障排查思路】4、Linux服务器沦陷为肉鸡处理全程实录【定位问题与解决】高老师Linux运维实战课程推荐:第一阶段:Linux基础入门篇Lin...
一次被入侵和删除木马程序的经历(转)
极客海哥
11-21 3369
首先剧透一下后门木马如下: (当然这是事后平静下来后慢慢搜出来的,那个时候喝着咖啡感觉像个自由人) 木马名称 Linux.BackDoor.Gates.5 http://forum.antichat.ru/threads/413337/ 首先是下午14点左右有几台服务器出现流量超高,平时只有几百M的流量,那时候发现流量上G了,达到这个量第一感觉就是遭受了DDOS流量攻击
linux服务器被当肉鸡过程
Ryze的博客
06-17 9848
肉鸡,暴力破解入侵。
linux肉鸡教程视频,超简单的菜鸟网吧抓肉鸡教程
weixin_39731916的博客
05-03 2473
大家好!我是rockwolf,我这次给大家做的教程是超简单的菜鸟网吧抓肉鸡教程.首先,需要的工具:1.灰鸽子一个:版本任意2.WebMan:开启HTTP服务的小工具3.啊D网络工具包:这个大家应该很常用的了````不用介绍的了吧`````我的鸽子上线是在本机建立FTP服务器的,大家看我操作.首先,在本机任意目录建立一个做为FTP服务器的文件夹,我为了方便,就在F盘的根目录下建立了.打开灰鸽子,工具...
服务器被当肉鸡排查过程(简写)
weixin_33862514的博客
06-21 1961
肉鸡排查过程可以从以下几个方面进行: 一。明确表现为肉鸡的现象,一般以网络异常,带宽沾满为多。 二。top(查看占用cpu高的进程),nload(或者iftop也行,主要看网络方面是有哪些进行占用居多),ps -ef(查看异常进程的情况) 等命令来查看一下哪些异常进程和异常程序的相关信息,查看是否有异常用户存在。 三。查看log日志,比如dmesg,messeng,syslog,security,...
一次linux肉鸡***检测
weixin_34417814的博客
12-09 502
#本文还在继续修改完善中,想得到最新版请关注[url]http://baoz.net[/url] 和[url]http://xsec.org[/url]作者:baoz日期:2006-11-18[url]http://baoz.net[/url][url]http://xsec.org[/url]1妹儿:perlish(*)gmail.com or [email]fatb@zz...
linux肉鸡检测,记一次简单的linux肉鸡检测 (6)
weixin_33147645的博客
05-13 211
VERY PRIVATE ***MMM MMM [*] *** so dont distribute ***MMMMM -C- -R- -E- -W- MMMMMM============================================================================[sh]# backdooring started on localhost.loc...
各端口抓肉鸡的几种方法
weixin_30755393的博客
11-17 1895
扫3389端口抓肉鸡(适合新手)(抓不了国外肉鸡) 现在国内网络上流传着一种克隆版的XP,安装后会默认开启一个账号为new,密码为空的账户,而且基本上都是开着3389的,我们就可以利用这一点来抓肉 鸡。首先用端口扫描工具(如S扫)扫一段IP的3389端口,扫完后就直接用远程桌面连接开放3389的机器(也可以把结果保存为文本文件,用批量生成 3389连接的工具来连接),然后输入账号new登...
深入探讨Linux集群技术及其强大功能
Linux是一种强大的操作系统,目前在许多企业和网站中得到广泛应用。Linux操作系统的优点使得它成为人们放弃微软操作系统的选择。特别是在当前的互联网时代,Linux操作系统得到了更广泛的应用。今天我们将重点讨论...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值