仓酷云

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 495|回复: 8
打印 上一主题 下一主题

[CentOS(社区)] 来一发浅谈办事器被黑后的反省事情流程

[复制链接]
灵魂腐蚀 该用户已被删除
跳转到指定楼层
楼主
发表于 2015-1-14 20:41:44 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
欢迎大家来到仓酷云论坛!明天说说以进侵者的角度往谈谈办事器被干失落后,我们该做的哪些防护和反省事情,妙手的话都对照熟习体系加固和宁静的成绩,关于我等初学者来讲,没有做过处置过宁静方面事情,以是只能从进侵者的角度往说说绝对立的事情。由于初学者的我们也会本人弄办事器本人建站,又没有专业的常识,也不是弄甚么年夜项目,以是都只能本人保护了,那末被进侵后,一定也是得本人做保护和反省事情了,因而有了下文。
一般办事器被进侵,一样平常有以下几种情形,随着我来看看吧
1.办事器被拿下最高权限即体系权限
通常是了拿体系权限,基础一定不会干甚么功德,办事器的数据基础城市被打包走,由于体系权限是最高权限无能的事多了,我就不说黑客们都用着权限干吗了,你们懂的

2.办事器被拿下webshell
一般是某个web体系有毛病,招致黑客黑盒检测出来并使用或0DAY甚么的,间接失掉一个webshell权限,这个权限小大由之,次要仍是看办事器的web目次设置的权限,权限设置欠好的话,体系盘目次都能够一清二楚,固然如果目次设置松散的话,基础拿到一个webshell不敷以弄甚么损坏,最多被下载数据裤和打包走(关头组件禁用好比wscript,fso等),特别在找不到提权的情形下,只要一个webshell无能的事就很少了,如今年夜局部办事器都挺宁静,基础能拿下个webshell提权仍是挺坚苦

3.办事器各类数据被社
好比3389终端,FTP,WEB体系办理等等账户和暗码被社工,或经由过程下面webshell拿到数据并收拾剖析失掉必定权限的办理账户,另有如今盛行的XSS用来X背景和办理账户,这些就要依据账户所对应的体系而断定权限,好比3389终端账户,社到的话那间接就是体系权限了(条件能够上岸的情形,否则统统都浮云),WEB体系办理就要看是甚么体系了,ASP,ASP.NET,PHP的这些都不触及体系权限,而JSP的体系那就要注重了,权限设置欠好的话,那权限可不是一样平常的年夜。详细这一种情形被社到的话,能做的事变就根据账户对应权限了

4.办事器被C段或嗅探
这类情形和第三种情形纷歧样,这必要在统一段内拿下一台体系权限的办事器,然后才能够举行数据的嗅探,能嗅探的数据良多,好比3389登录账户和暗码,80也就是web体系办理账户和暗码等等,能做的事变也同第三一样,也是依据嗅探到的账户对应的权限而定

5.办事器被各类0DAY打了
这个一样平常菜鸟是做不到的,要末是新出了哪个0DAY,然后发布于众了,菜鸟才得以过把瘾,0DAY林林总总,也许分为体系0DAY和WEB0DAY,体系0DAY好比间接溢出取得体系权限,反弹SHELL等等,WEB0DAY一样平常则是针对某一个WEB体系间接getshell,二者的权限能够参照以上的,体系0DAY一样平常能间接失掉system权限,WEB则和第二点差未几,还要依据权限巨细而断定无能的事。



复杂的被黑后的事情反省处置流程:
这几种情形是我们常碰见的,初学者的你当办事器被黑客“经由”了,你肿么办(一定不会凉拌,再低劣儿也是办事器嘛,也是本人利用的)?我们能够依据以上的情形,往做相对的对策和检测:


1.办事器被干失落了,第一我要做的是,开辟的体系都先临时封闭,体系账户暗码都修正一遍,请改之前还要反省办事器是不是存在木马等。以避免被黑客给你GetHash(经由过程某种手腕猎取体系暗码的hash值并举行破解得出明文暗码)或明文
2.反省体系是不是有过剩的账户,一样平常有手工和工具反省,我这里指谈思绪,详细要做你本人往完成,好比能够查C:DocumentsandSettings这里,如果创立新账户登录3389忏悔在这里天生和账户名对应的文件夹,哪怕是甚么带$的埋没账户,另有注册内外也要好好反省,不懂就工具吧,百度那末好
3.反省体系开放的端口,本人熟习的端口就先不论,有生疏的就要查一下,究竟是甚么步伐再利用,偶然候能够反省出木马大概后门利用的端口,把没需要的端口都封闭了,制止不测变乱
4.反省日记,初学者级其余一样平常没举措清算失落一些日记,能够好悦目看,好比IIS,WEB体系自带的日记功效,体系日记等,这能剖析出黑客都干了神马好事,和你的办事器是怎样被干失落
5.反省体系各个盘符的和关头目次的操纵权限,好比某办理给我弄了办事器,E盘底本没权限,厥后我改成everyone,而刚好他又不往反省,那只需我WEBSHELL在的话,权限就很年夜,特别共同一些提权工具,那是爽歪歪了
6.利用杀毒宁静软件,这个是为了通盘扫描木马(EXE和剧本和其他),查杀木马和修复体系毛病,至于选择甚么杀毒软件,人人本人找,我也不保举以免被说是推手
7.web体系的剧本后门要好好反省,一样平常看看文件操纵工夫(不外文件工夫是能够改滴),用工具考核,另有野生考核,没才能的找熟人,另有一种是提早备份好各个体系,出了成绩后,把两个文件打包到当地用BeyondCompare对照剖析,固然其他对照剖析工具也能够,确保剔撤除黑客的剧本,别的能找到本人web体系的毛病最好了,假如你晓得黑客怎样拿下你的web体系那你就对应修复吧,记得另有那些变异扩大的剧本也要寄望下。
8.装置宁静狗之类的waf软件,我不是打告白,归正很多初学者赶上有狗的办事器,基础都是绕道而行,否则就要被咬了,年夜神有举措绕过,可是纷歧定会给我等这些初学者分享的,以是装置相似的软件,固然不克不及包管100%防护,但最少给黑客进侵你办事器增添很多坚苦,也能够反对一批所谓的剧本小子


做好这些以后,剩下的还要本人给办事器加固,那里被进侵了,那里就应当多寄望下,详细的加固,人人本人找材料参考吧,这个是题外话,况且我这菜逼的初学者也不是专弄这个的,以是就别难堪我,我只能略懂一些,各类账户暗码设置庞大一些,并且分歧的账户利用分歧的暗码,必备被社工了,社工太壮大了,不是你所设想失掉的,办事器各目次严厉分派,能够参照下星外,另有其他的参考文献,没事看看日记,监听下游量,监听下端口,黑客要在你办事器干好事,一定会有很多动态,只需略微寄望一下细节的器材。


倡议:在事情反省处置流程的一条中所提到的反省办事器是不是存在木马等,倡议利用专业的杀毒软件及webshell扫描工具。(杀毒软件保举外洋的mcafee企业版,诺顿企业版或相干的办事器版,webshell扫描工具保举啊D,暗组等常更新的webshell扫描工具。究竟shell一向在变形,若只纯真利用旧的扫描工具基本扫描不出甚么。同时倡议办事器端不利用XX卫士,XX管家等。)复杂的办事器被黑后的成绩排查流程,合适方才做网管大概是手艺不是很好的伴侣浏览。实在宁静这类器材无相对,不是说装置个防火墙大概多打些补钉就可以防住那些犯科份子,要有颗常记宁静的心
本文出自“无痕”博客,请务必保存此出处http://hucwuhen.blog.51cto.com/6253667/1338638
欢迎大家来到仓酷云论坛!
飘飘悠悠 该用户已被删除
沙发
发表于 2015-1-16 21:32:46 | 只看该作者

来一发浅谈办事器被黑后的反省事情流程

熟读Linux系统有关知识,如系统目录树,有关内容可购书阅读或搜索论坛。
莫相离 该用户已被删除
板凳
发表于 2015-1-25 12:31:23 | 只看该作者
这也正是有别的OS得以存在的原因,每个系统都有其自身的优点。?
小女巫 该用户已被删除
地板
发表于 2015-2-2 22:13:59 | 只看该作者
Windows有MS-DOS?方式,在该方式下通过输入DOS命令来操作电脑;Linux与Windows类似,也有命令方式,Linux?启动后如果不执行?X-WINDOWS,就会处于命令方式下,必须发命令才能操作电脑。?
深爱那片海 该用户已被删除
5#
发表于 2015-2-8 15:46:37 | 只看该作者
Linux是参照Unix思想设计的,理解掌握Linux必须按照Unix思维来进行。思想性的转变比暂时性的技术提高更有用,因为他能帮助你加快学习速度。
蒙在股里 该用户已被删除
6#
发表于 2015-2-25 21:34:36 | 只看该作者
随着Linux技术的更加成熟、完善,其应用领域和市场份额继续快速增大。目前,其主要应用领域是服务器系统和嵌入式系统。然而,它的足迹已遍布各个行业,几乎无处不在。
谁可相欹 该用户已被删除
7#
发表于 2015-3-8 08:56:08 | 只看该作者
另外Linux上也有很多的应用软件,安装运行了这些软件后,你就可以在Linux上编辑文档、图?片,玩游戏、上网、播放多媒体文件等。
活着的死人 该用户已被删除
8#
发表于 2015-3-16 03:43:30 | 只看该作者
最好先搜寻一下论坛是否有您需要的文章。这样可以获得事半功倍的效果。
分手快乐 该用户已被删除
9#
发表于 2015-3-22 20:23:05 | 只看该作者
其实当你安装了一个完整的Linux系统后其中已经包含了一个强大的帮助,只是可能你还没有发现和使用它们的技巧。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|仓酷云 鄂ICP备14007578号-2

GMT+8, 2024-12-23 22:23

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表