ssh-scan处理手记
登陸一臺(tái)Linux RedHat As4的服務(wù)器,發(fā)現(xiàn)有很多網(wǎng)絡(luò)連接,為本機(jī)去連接其他服務(wù)器的22端口。再一看進(jìn)程,好多ssh-scan的進(jìn)程。估計(jì)是密碼設(shè)得太簡(jiǎn)單,被人家黑了。處理思路:找到ssh-scan進(jìn)程的相應(yīng)程序文件,刪除之。
???????先查看定時(shí)任務(wù),沒有看到有異常的定時(shí)任務(wù)。
???????最后處理步驟如下:
??????1、ps -ef|grep ssh-scan (或ps –ajxf)
ps -ef|grep ssh
500???????8923?????1??0 Jul02 ?????????00:00:22 ./scanssh
500???????8928?????1??0 Jul02 ?????????00:00:22 ./scanssh
500???????8929?????1??0 Jul02 ?????????00:00:20 ./scanssh
500???????8937?????1??0 Jul02 ?????????00:00:18 ./scanssh
500???????8938?????1??0 Jul02 ?????????00:00:21 ./scanssh
500???????8939?????1??0 Jul02 ?????????00:00:21 ./scanssh
500???????8941?????1??0 Jul02 ?????????00:00:18 ./scanssh
500???????8948?????1??0 Jul02 ?????????00:00:17 ./scanssh
500???????8949?????1??0 Jul02 ?????????00:00:14 ./scanssh
500???????8953?????1??0 Jul02 ?????????00:00:21 ./scanssh
500???????8955?????1??0 Jul02 ?????????00:00:17 ./scanssh
500???????8957?????1??0 Jul02 ?????????00:00:27 ./scanssh
500???????8966?????1??0 Jul02 ?????????00:00:22 ./scanssh
500???????8967?????1??0 Jul02 ?????????00:00:22 ./scanssh
500???????8968?????1??0 Jul02 ?????????00:00:22 ./scanssh
500???????8969?????1??0 Jul02 ?????????00:00:10 ./scanssh
500???????8971?????1??0 Jul02 ?????????00:00:21 ./scanssh
500???????8975?????1??0 Jul02 ?????????00:00:00 ./scanssh
500???????8980?????1??0 Jul02 ?????????00:00:00 ./scanssh
500???????8984?????1??0 Jul02 ?????????00:00:18 ./scanssh
500???????8986?????1??0 Jul02 ?????????00:00:06 ./scanssh
500???????8996?????1??0 Jul02 ?????????00:00:03 ./scanssh
500???????9015?????1??0 Jul02 ?????????00:00:31 ./scanssh
500???????9016?????1??0 Jul02 ?????????00:00:21 ./scanssh
500???????9019?????1??0 Jul02 ?????????00:00:19 ./scanssh
500???????9025?????1??0 Jul02 ?????????00:00:21 ./scanssh
500???????9026?????1??0 Jul02 ?????????00:00:20 ./scanssh
500???????9031?????1??0 Jul02 ?????????00:00:37 ./scanssh
500???????9059?????1??0 Jul02 ?????????00:00:00 ./scanssh
500???????9061?????1??0 Jul02 ?????????00:00:00 ./scanssh
500???????9062?????1??0 Jul02 ?????????00:00:00 ./scanssh
500???????9066?????1??0 Jul02 ?????????00:00:20 ./scanssh
500???????9067?????1??0 Jul02 ?????????00:00:21 ./scanssh
500???????9077?????1??0 Jul02 ?????????00:00:20 ./scanssh
500??????18696?????1??0 Jun28 ?????????00:00:00 ./scanssh
500??????18697?????1??0 Jun28 ?????????00:00:00 ./scanssh
500??????18698?????1??0 Jun28 ?????????00:00:00 ./scanssh
500??????18699?????1??0 Jun28 ?????????00:00:00 ./scanssh
500??????18706?????1??0 Jun28 ?????????00:00:00 ./scanssh
500??????18715?????1??0 Jun28 ?????????00:00:00 ./scanssh
500??????18716?????1??0 Jun28 ?????????00:00:05 ./scanssh
500??????18727?????1??0 Jun28 ?????????00:00:00 ./scanssh
500??????18731?????1??0 Jun28 ?????????00:00:00 ./scanssh
500??????18733?????1??0 Jun28 ?????????00:00:00 ./scanssh
500??????18740?????1??0 Jun28 ?????????00:00:00 ./scanssh
500??????18741?????1??0 Jun28 ?????????00:00:02 ./scanssh
500??????18747?????1??0 Jun28 ?????????00:00:00 ./scanssh
500??????18760?????1??0 Jun28 ?????????00:00:04 ./scanssh
500??????18762?????1??0 Jun28 ?????????00:00:00 ./scanssh
500??????18767?????1??0 Jun28 ?????????00:00:00 ./scanssh
500??????18770?????1??0 Jun28 ?????????00:00:01 ./scanssh
500??????18789?????1??0 Jun28 ?????????00:00:00 ./scanssh
500??????18791?????1??0 Jun28 ?????????00:00:00 ./scanssh
500??????18800?????1??0 Jun28 ?????????00:00:00 ./scanssh
500??????18821?????1??0 Jun28 ?????????00:00:00 ./scanssh
500??????18822?????1??0 Jun28 ?????????00:00:00 ./scanssh
500??????18823?????1??0 Jun28 ?????????00:01:10 ./scanssh
500??????18824?????1??0 Jun28 ?????????00:00:00 ./scanssh
500??????18828?????1??0 Jun28 ?????????00:01:17 ./scanssh
500??????18829?????1??0 Jun28 ?????????00:00:04 ./scanssh
500??????18832?????1??0 Jun28 ?????????00:00:00 ./scanssh
500??????18833?????1??0 Jun28 ?????????00:00:00 ./scanssh
500??????18836?????1??0 Jun28 ?????????00:00:00 ./scanssh
500??????18838?????1??0 Jun28 ?????????00:00:00 ./scanssh
500??????18841?????1??0 Jun28 ?????????00:00:02 ./scanssh
500??????18842?????1??0 Jun28 ?????????00:00:03 ./scanssh
500??????18863?????1??0 Jun28 ?????????00:00:02 ./scanssh
500??????18866?????1??0 Jun28 ?????????00:00:00 ./scanssh
500??????18884?????1??0 Jun28 ?????????00:00:00 ./scanssh
500??????18896?????1??0 Jun28 ?????????00:00:02 ./scanssh
500??????18899?????1??0 Jun28 ?????????00:00:00 ./scanssh
500??????18902?????1??0 Jun28 ?????????00:00:00 ./scanssh
500??????18907?????1??0 Jun28 ?????????00:00:00 ./scanssh
500??????18916?????1??0 Jun28 ?????????00:00:16 ./scanssh
500??????18917?????1??0 Jun28 ?????????00:00:00 ./scanssh
500??????18938?????1??0 Jun28 ?????????00:00:04 ./scanssh
500??????18942?????1??0 Jun28 ?????????00:00:00 ./scanssh
500??????18943?????1??0 Jun28 ?????????00:00:02 ./scanssh
500??????18947?????1??0 Jun28 ?????????00:00:00 ./scanssh
500??????18951?????1??0 Jun28 ?????????00:00:00 ./scanssh
500??????18953?????1??0 Jun28 ?????????00:00:00 ./scanssh
500??????18969?????1??0 Jun28 ?????????00:00:00 ./scanssh
500??????18982?????1??0 Jun28 ?????????00:00:00 ./scanssh
500??????18988?????1??0 Jun28 ?????????00:00:00 ./scanssh
500??????19018?????1??0 Jun28 ?????????00:00:13 ./scanssh
500??????19027?????1??0 Jun28 ?????????00:00:00 ./scanssh
500??????19053?????1??0 Jun28 ?????????00:00:30 ./scanssh
500??????19061?????1??0 Jun28 ?????????00:00:00 ./scanssh
500??????19086?????1??0 Jun28 ?????????00:00:19 ./scanssh
500??????19095?????1??0 Jun28 ?????????00:00:00 ./scanssh
500??????19103?????1??0 Jun28 ?????????00:00:00 ./scanssh
500??????19111?????1??0 Jun28 ?????????00:00:00 ./scanssh
root?????24539 27230??0 11:32 ?????????00:00:00 sshd: swzj [priv]
swzj?????24541 24539??0 11:32 ?????????00:00:00 sshd: swzj@pts/6
root?????27230?????1??0 Apr12 ?????????00:01:34 /usr/sbin/sshd
root?????27657 24598??0 13:28 pts/6????00:00:00 grep ssh
?
??
?
??????2、找到ssh-scan對(duì)應(yīng)的進(jìn)程號(hào)PID,如有一個(gè)是19061 。
??????3、進(jìn)入到/proc/PID對(duì)應(yīng)的目錄,cd /proc/19061
??????4、ls -al,查看cwd和exe對(duì)應(yīng)的選項(xiàng),找到應(yīng)用程序所在目錄。
??????5、將其全部殺死后killall -9 scanssh,刪除對(duì)應(yīng)目錄。
??????6、將用戶密碼全部修改。
?????用netstat -an|grep 22看,仍然有很多連接,reboot服務(wù)器,系統(tǒng)運(yùn)行正常。
?
???另,參考鏈接:http://www.vvvk.net/archives/311#more-311
附錄:/PROC目錄介紹
原文:http://www.freeos.com/articles/2879/??translated by bugzilla_zhu
Proc 文件系統(tǒng)是一個(gè)實(shí)時(shí)的,常駐內(nèi)存的文件系統(tǒng),它跟蹤進(jìn)程在你機(jī)器上的運(yùn)行情況和你系統(tǒng)的狀態(tài)。繼續(xù)閱讀你可以學(xué)到很多/proc文件系統(tǒng)的知識(shí)。
/proc偽文件系統(tǒng)最令人震驚的是它事實(shí)上不存在于任何的媒介上。/proc文件系統(tǒng)是常駐虛擬內(nèi)存并且維持著操作系統(tǒng)的動(dòng)態(tài)數(shù)據(jù)的一個(gè)偽文件系統(tǒng)。大部分的/proc文件系統(tǒng)信息被實(shí)時(shí)更新來與當(dāng)前操作系統(tǒng)的狀態(tài)一致。/proc文件系統(tǒng)的內(nèi)容能被任何有相應(yīng)權(quán)限的人讀取。但是,/proc文件系統(tǒng)的特定的部分只能被這個(gè)進(jìn)程的擁有者和root用戶讀取。/proc文件系統(tǒng)的內(nèi)容從特定的/proc目錄得到數(shù)據(jù)并且顯示出來,它們有很多用途。
在linux下,我們有工具像lscpi,scanpci和pnpdump,它們幫助我們檢測(cè)大量的PCI,ISA 硬件芯片設(shè)置并且?guī)椭覀儗?duì)io,dma和irq的值作最好的選擇。通過查看/proc文件系統(tǒng)的各種參數(shù)的值,我們可以看到許多內(nèi)核和進(jìn)程的當(dāng)前狀態(tài)。我們用dmesg命令舉個(gè)例子。
bash# dmesg
Dmesg 幫助我們確定已經(jīng)被內(nèi)核檢測(cè)到和初始化的設(shè)備。我們有工具像"ps"和"top",給我們一個(gè)準(zhǔn)確的快照,這個(gè)快照是關(guān)于進(jìn)程在機(jī)器上運(yùn)行的狀態(tài)和一個(gè)當(dāng)前運(yùn)行在機(jī)器上的清醒和睡眠的進(jìn)程的列表。你曾經(jīng)想過這些通過"ps"和"top"進(jìn)程給出的信息的準(zhǔn)確的出處嗎?這些進(jìn)程的信息來自/proc文件系統(tǒng),當(dāng)進(jìn)程發(fā)生改變的時(shí)候它隨時(shí)更新。
讓我們看一下linux機(jī)器的root目錄的列表快照。
drwxr-xr-x 14 root root 291 Oct 25 18:47 opt
dr-xr-xr-x 86 root root 0 Nov 30 2000 proc <--
drwx--x--x 16 root root 841 Nov 20 00:10 root
drwxr-xr-x 5 root root 4627 Oct 15 11:42 sbin
因?yàn)?proc文件系統(tǒng)是一個(gè)虛擬的文件系統(tǒng)并且常駐內(nèi)存,每次當(dāng)你的linux機(jī)器重啟的時(shí)候它被重新創(chuàng)建。看一下上面的root目錄。proc目錄的大小是0并且最后一次修改時(shí)間是當(dāng)前日期。
使用/proc/sys文件系統(tǒng)來解析內(nèi)核參數(shù)。
/proc文件系統(tǒng)的另一個(gè)非常重要的部分是/proc/sys目錄。在這個(gè)目錄下你可以對(duì)指定的內(nèi)核參數(shù)做實(shí)時(shí)的改變。一個(gè)好的例子如下。
/proc/sys/net/ipv4/ip_forward
當(dāng)你cat這個(gè)文件的內(nèi)容的時(shí)候你可以看到以上這個(gè)文件中ip_forward有一個(gè)默認(rèn)值為"0"。這意味著通過這個(gè)機(jī)器作IP轉(zhuǎn)發(fā)是不允許的。但是通過改變這個(gè)文件中的值從"0"到"1",這個(gè)配置能實(shí)時(shí)地被改變。然后我們立刻可以在我們的linux機(jī)器上作IP轉(zhuǎn)發(fā),不用重啟系統(tǒng)。
/proc文件系統(tǒng)的內(nèi)容
/proc目錄列表如下。實(shí)際的列表很長(zhǎng)。我們下面給出的是一個(gè)比較短的版本。
1 114 1210 1211 1212 1227 133 137 148 160 161 163 167 168 169
170 171 172 173 174 186 190 193 194 195 203 206 207 208 209
210 211 220 221 222 223 224 225 226 227 229 230 234 246 253 279
296 3 4 5 500 501 6 667 668 669 683 684 685 7 711 712 713 737 763
764 765 766 773 774 775 782 79 88 92 asound bus cmdline config.gz
cpuinfo devices dma fb filesystems fs ide interrupts ioports
kcore kcore_elf kmsg ksyms loadavg locks lvm mdstat meminfo
memstat misc modules mounts net partitions pci rtc scsi self
slabinfo stat swaps sys tty uptime version
在上面的快照中你看到的每一個(gè)數(shù)字和單詞都是/proc目錄的內(nèi)容。讓我們學(xué)習(xí)更多這個(gè)目錄中用數(shù)字命名的內(nèi)容。
數(shù)字命名的目錄
1 114 1210 1211 1212 1227 133 137 148 160 161 163 167 168 169
170 171 172 173 174 186 190 193 194 195 203 206 207 208 209
210 211 220 221 222 223 224 225 226 227 229 230 234 246 253 279
296 3 4 5 500 501 6 667 668 669 683 684 685 7 711 712 713 737 763
764 765 766 773 774 775 782 79 88 92
你看到的大量在這里列出的目錄是進(jìn)程,在我們對(duì)/proc文件系統(tǒng)作快照的時(shí)候它們正運(yùn)行在你的機(jī)器上。讓我們看一下目錄的內(nèi)容。
freeos:~ # cd /proc
freeos:/proc # ls -la 114
total 0
dr-xr-xr-x 3 named named 0 Nov 30 12:20 .
dr-xr-xr-x 89 root root 0 Nov 30 2000 ..
-r--r--r-- 1 root root 0 Nov 30 12:20 cmdline
lrwx------ 1 root root 0 Nov 30 12:20 cwd -> /var/named
-r-------- 1 root root 0 Nov 30 12:20 environ
lrwx------ 1 root root 0 Nov 30 12:20 exe -> /usr/sbin/named
dr-x------ 2 root root 0 Nov 30 12:20 fd
pr--r--r-- 1 root root 0 Nov 30 12:20 maps
-rw------- 1 root root 0 Nov 30 12:20 mem
lrwx------ 1 root root 0 Nov 30 12:20 root -> /
-r--r--r-- 1 root root 0 Nov 30 12:20 stat
-r--r--r-- 1 root root 0 Nov 30 12:20 statm
-r--r--r-- 1 root root 0 Nov 30 12:20 status
在我們執(zhí)行命令之前我們需要作為root登錄,因?yàn)榇罅康倪\(yùn)行在系統(tǒng)上的進(jìn)程可能被其他人擁有。通常你只有權(quán)限訪問你開啟的進(jìn)程。在作為root登錄之后,對(duì)任意的目錄執(zhí)行以上的命令并且與以上的輸出作比較。
你有沒有注意到你得到的輸出與上面列出的內(nèi)容有任何相似之處?是的,所有你選擇查看的無關(guān)的目錄的內(nèi)容都是一樣的,因?yàn)檫@些目錄包括大量的進(jìn)程的參數(shù)和狀態(tài),它的PID是你所在的當(dāng)前目錄的名字。各個(gè)參數(shù)的值和狀態(tài)信息當(dāng)然因進(jìn)程不同而不同。
看上面輸出的第一行。
-r--r--r-- 1 root root 0 Nov30 12:20 cmdline
"cmdline",這個(gè)文件包含整個(gè)用來產(chǎn)生進(jìn)程的命令行。這個(gè)文件的內(nèi)容是命令行參數(shù)包括傳遞來啟動(dòng)進(jìn)程的所有參數(shù)。所有包含在這個(gè)文件的信息即命令和各個(gè)啟動(dòng)參數(shù),沒有任何的格式和任何的空格。
lrwx------ 1 root root 0 Nov 30 12:20 cwd -> /var/named
"cwd",像我們從上面看見的,這是一個(gè)符號(hào)鏈接,它指向進(jìn)程的當(dāng)前工作目錄。
-r-------- 1 root root 0 Nov 30 12:20 environ
"environ"包括在VARIABL=value為這個(gè)進(jìn)程定義的所有的環(huán)境變量。正如"cmdline"一樣,包含在文件中的命令和各個(gè)參數(shù)的信息沒有任何的格式和空格。
lrwx------ 1 root root 0 Nov 30 12:20 exe -> /usr/sbin/named
"exe",這是一個(gè)符號(hào)鏈接指向啟動(dòng)當(dāng)前進(jìn)程的可執(zhí)行文件。
dr-x------ 2 root root 0 Nov 30 12:20 fd
"fd",這個(gè)目錄包括被指定進(jìn)程打開的文件描述符。
pr--r--r-- 1 root root 0 Nov 30 12:20 maps
"maps",當(dāng)你打出這個(gè)命名管道的內(nèi)容,你可以看到進(jìn)程的地址空間部分,當(dāng)前被映射到一個(gè)文件。這個(gè)部分,從左到右是:和這個(gè)映射有關(guān)的地址空間,和這個(gè)映射有關(guān)的權(quán)限,距離文件開始(即這個(gè)映射開始的地方)的偏移量,這個(gè)映射文件所在的設(shè)備,文件的inode號(hào),最后是文件名本身。
"root",這是一個(gè)符號(hào)鏈接指向這個(gè)進(jìn)程的/proc目錄。
-r--r--r-- 1 root root 0 Nov 30 12:20 status
"status",這個(gè)文件給你有關(guān)進(jìn)程名的信息,它的當(dāng)前的狀態(tài),睡眠或者清醒,它的PID,UID,PPID和大量其它基本信息。這個(gè)信息可以在一個(gè)更簡(jiǎn)單和結(jié)構(gòu)化的語法中看到,通過使用工具如"ps"和"top"。
關(guān)于大量/proc/*目錄的基本信息
這個(gè)信息已經(jīng)存在LASG, 第三章《/proc??文件系統(tǒng)》中。
/proc/cpuinfo
關(guān)于處理器,諸如它的類型,產(chǎn)地,型號(hào)和性能。
/proc/devices
當(dāng)前運(yùn)行的內(nèi)核配置的設(shè)備的驅(qū)動(dòng)列表。
/proc/dma
顯示DMA通道此刻正在被使用。
/proc/filesystems
內(nèi)核配置的文件系統(tǒng)。
/proc/interrupts
顯示在使用的中斷,和每個(gè)中斷已經(jīng)使用的次數(shù)
/proc/ioports
哪一個(gè)I/O端口正在使用
轉(zhuǎn)載于:https://blog.51cto.com/gkeke/767816
總結(jié)
以上是生活随笔為你收集整理的ssh-scan处理手记的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 田老的语录
- 下一篇: malloc coredump(宕)的问