一次服务器沦陷为肉鸡后的实战排查过程！

前面通过呼吁汗青记录，可以看出进攻器材软件包为名为piata。下载来看看它的脸孔。

[root@localhost piata]# ll 
total 1708 
-rw-r--r--. 1 oracle oinstall 0 Mar 10 13:01 183.63.pscan.22 
-rwxr-xr-x. 1 oracle oinstall 659 Feb 2 2008 a 
-rwxr-xr-x. 1 oracle oinstall 216 May 18 2005 auto 
-rwxr-xr-x. 1 oracle oinstall 283 Nov 25 2004 gen-pass.sh 
-rwxr-xr-x. 1 oracle oinstall 93 Apr 19 2005 go.sh 
-rwxr-xr-x. 1 oracle oinstall 3253 Mar 5 2007 mass 
-rwxr-xr-x. 1 oracle oinstall 12671 May 18 2008 pass_file 
-rwxr-xr-x. 1 oracle oinstall 21407 Jul 22 2004 pscan2 
-rwxr-xr-x. 1 oracle oinstall 249980 Feb 13 2001 screen 
-rw-r--r--. 1 oracle oinstall 130892 Feb 3 2010 screen.tgz 
-rwxr-xr-x. 1 oracle oinstall 453972 Jul 13 2004 ss 
-rwxr-xr-x. 1 oracle oinstall 842736 Nov 24 2004 ssh-scan 
-rw-r--r--. 1 oracle oinstall 2392 Mar 10 05:03 vuln.txt 

个中 a, auto, go.sh gen-pass.sh, 都是bash剧本文件，用于设置扫描网段，挪用扫描措施。pscan2和ssh-scan则为扫描措施。 vuln.txt记录得到的肉鸡列表。

今朝尚未发明其他体系文件被黑客修改，也没有自动运行进攻软件的配置。

4 深刻教导

固然这次被进攻的呆板只是一个测试主机，其自己的重要性并不高，但却造成了防火墙的瘫痪，进而造成互联网不能正常会见。对此，必需引起足够重视，并从中罗致教导。

体系账户暗码必然要有必然的伟大度。这次进攻就是因为oracle账户暗码过于简朴所致。

sshd回收暗码方法登录风险很大，出格是暗码简朴的时辰。可行的环境下，只管封锁暗码方法，改用公钥方法。

作为数据中心打点员，必然要监视禁锢体系打点员和软件开拓商的处事安详，本次被进攻主机就是把全部权限都放给了网站开拓公司，而开拓公司对运营安详并不重视。

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!