一次Linux服务器被黑的过程分析

hack工具

hacker登入一台被入侵的服务器，通常首先使用"w"命令查看登陆者信息、使用"passwd"命令修改当前用户密码，然后通过wget，获取提权和其他hack工具。hacker一般将工具解压到目录名以"."开头的目录中，达到隐藏的效果，以下是此次问题hacker在服务器上留下的 “礼物”：

linux:/tmp/.ssh#ll

总计340

-rw-r–r–1rootroot728906-0313:06pass_file

-rwxr-xr-x1rootroot1727406-0313:20pscan

-rw-r–r–1rootroot607106-0313:10pscan.c

-rwxr-xr-x1rootroot30224006-0313:06screen

-rw-r–r–1rootroot144406-0313:06sesion.php

下面我们对以上各工具的作用逐一进行分析。

远程会话管理工具screen

screen主要用于管理多窗口、使进程与原始远程连接脱离。

多窗口管理

有时我们需要执行一些比较耗时的程序，在这些程序运行结束后，我们才能操作终端。假如在耗时程序运行过程中，还想进行其他操作，那就需要另打开远程登陆终端。使用screen，可以避免打开多个登陆终端，下面来看使用screen模拟打开多个窗口的方法。

在执行screen程序前，使用"who"命令可以查到A机器上有两个用户，分别从本地、远程登入：

linux:/tmp/.ssh>who

lx:02012-06-0310:59

lxpts/02012-06-0313:05(192.168.1.102)

通过远程pts/0运行screen后，进入一个新的命令操作窗口，并增加了一个远程登入：

linux:/tmp/.ssh>who

lx:02012-06-0310:59

lxpts/02012-06-0313:05(192.168.1.102)

lxpts/12012-06-0315:40

在screen中，我们可以使用"ctrl+a+c"组合键创建新的窗口，使用"ctrl+a+n/p"组合键在窗口间来回切换。这样，当耗时程序被执行时，我们可以新建或切换到其他窗口，进行其他操作。

脱离原始远程连接

通过远程终端执行程序，程序尚未退出的情况下关闭远程连接，那么程序也会跟着中止。这将导致耗时程序尚未完成工作就退出、编辑中尚未保存的文件丢失。使用screen，可以达到进程不随远程连接关闭而退出的目的，这也是screen最主要的功能。

在screen窗口下，我们执行一个程序：

linux:/tmp/loop>./endless_loop

running…www.2cto.com

程序执行时，我们将远程登陆终端关闭，在服务器本地开启终端，可以看到远程终端已经关闭：

linux:/tmp/loop>who

lx:02012-06-0310:59

lxpts/02012-06-0320:04(:0.0)

再来查之前通过远程拉起的endless_loop进程，可以看到其仍在运行，并且screen为其祖先进程：

linux:/tmp/loop>ps-elf|grependless|grep-vgrep

0Rlx4851458699800-926-20:24pts/100:00:32./endless_loop

linux:/tmp/loop>ps-elf|grep4586|grep-vendless|grep-vgrep

0Slx458645850800-4193wait20:02pts/100:00:00/bin/bash

linux:/tmp/loop>ps-elf|grep4585|grep-vgrep|grep-v4586

1Slx458510800-1036-20:02?00:00:00./SCREEN

暴力破解帐号

hacker费时费力入侵服务器，当然不会无欲无求，入侵服务器后，hacker要不获取服务器上的资料信息，要不就是将服务器变成肉机，用其破解更多服务器的帐号。暴力破解服务器帐号需要通过某一系统服务，例如pop3、ssh、telnet等，其过程可以分解为两个步骤。

未经允许不得转载：DOIT » 一次Linux服务器被黑的过程分析