손상된 상자를 어떻게 처리할지 묻는 것이 아닙니다. 특히 해커/악성 프로그램에 대한 경험이 있거나 "/usr/bin/fake.cfg" 및 "/usr/bin/fuck" 파일을 남겨둔 다른 사람이 있는지 묻고 있습니다. 나는 그것이 무엇을 하고 있는지, 어떻게 하는지 부분적으로 볼 수 있다. 나는 가장 적절한 조치는 연결을 끊고, 회수하고, 재건하는 것임을 깨달았습니다.
나는 이 특별한 침략에 대해 더 알고 싶습니다. 저는 해킹을 당하거나 손상된 시스템에 자주 노출되지 않습니다. 저는 이 기회를 얻었고 이를 학습 기회로 바꾸고 싶습니다.
이런 특별한 침입을 경험한 사람이 있나요? 내가 조사할 수 있는 모든 제안.
백만년 전에 FBI는 그러한 것들에 대한 유용한 데이터베이스를 보관하곤 했습니다. 911 이후에는 쓸모가 없어졌습니다.
아이디어가 있나요?
답변1
호기심에 발견한 내용인데 악성코드 공격에 대한 분석을 논의하던 중이었습니다.
명의 도용 및 섹스팅과 관련하여 공격자는 종종 자신의 노력을 용이하게 하기 위해 도구를 사용합니다.
fake.cfg와 관련하여 실제로 Linux에는 fake라는 유틸리티가 있습니다.
$apt-cache search fake | grep ^fake
fake - IP address takeover tool
Fake는 호스트에 두 번째 인터페이스를 표시하고 불필요한 arp를 사용하여 IP 주소를 차지하는 유틸리티입니다. LAN에서 백업 서버를 전환하도록 설계되었습니다.
따라서 위조는 다음과 같은 방법이 될 수 있다고 생각합니다.
- 방화벽 규칙을 탈출합니다.
- 다른 네트워크에 연결합니다.
- 인터넷의 다른 서버를 공격할 때 한 네트워크의 여러 IP를 사용하여 동시에 패킷/스팸을 생성하여 블랙리스트/fail2ban/apache를 회피합니다. 모드 회피.
젠장, 목표는 덜 명확합니다.
나는 이것을 찾았다:
https://github.com/nvbn/thefuck
이전 콘솔 명령을 수정하는 탁월한 응용 프로그램입니다.
fun 명령은 규칙 대체를 사용하여 이전 명령의 수정된 버전을 실행합니다. 여기서는 공격자가 실행하는 일부 실제 명령을 자동화/난독화/모니터링하는 기본 도구로 사용된다고 가정합니다.
다른 사람들이 이미 언급한 디버거 외에도 활동을 추적하려면 또는 을 사용하는 strace것이 sysdig좋습니다 dtrace4linux. 이는 커널 호출의 세부 사항을 추적하는 데 탁월한 도구입니다.
손상된 I/O에서 열린 모든 파일을 추적하려면 다음을 실행할 수 있습니다.
sysdig -p "%12user.name %6proc.pid %12proc.name %3fd.num %fd.typechar %fd.name" evt.type=open
발생 시 청취 파일이 열립니다(sysdig 사용).
에서:
http://www.sysdig.org/wiki/sysdig-examples/
Sysdig에는 시연 능력이 있습니다.모든 것, 기록 중인 파일이나 네트워크를 통해 전송되는 데이터에 대한 버퍼를 포함합니다.
이러한 명령을 실행하기 전에 서버를 백업하고 격리해야 한다는 것은 말할 필요도 없습니다.
답변2
이를 사용하여 htop프로세스 트리와 시스템 모니터를 표시하여 바이러스가 연 파일, 다양한 바이러스 바이너리 간의 링크를 확인하고 모든 것을 복사하여 사용하거나 분해할 수 있습니다 Idapro.CuckooGdb
Wireshark는 그것이 Metasploit의 미터프리터와 같은지 아니면 단순한 봇인지 확인하는 데 도움이 될 수 있습니다.
답변3
파생 상품: DbSecuritySpt https://github.com/ValdikSS/billgates-botnet-tracker 서버를 비활성화하다가 우연히 이것을 발견했습니다.