分析服务器被黑的过程永恒

引言

最近遇到一个服务器被hack的问题，服务器变成了肉机，不断尝试破解其他机器的帐号。下面我们通过分析黑客在服务器上留下的工具，了解入门的hack方法、学习相应的防范措施。

hack工具

hacker登入一台被入侵的服务器，通常首先使用w命令查看登陆者信息、使用passwd命令修改当前用户密码，然后通过wget，获取提权和其他hack工具。hacker一般将工具解压到目录名以.开头的目录中，达到隐藏的效果，以下是此次问题hacker在服务器上留下的礼物：

linux:/tmp/.ssh#ll

总计340

-rw-r--r--1rootroot:06pass_file

自然可以任意妄为了。 -rwxr-xr-x1rootroot:20pscan

-rw-r--r--1rootroot:10pscan.c

-rwxr-xr-x1rootroot:06screen

-rw-r--r--1rootroot:p

下面我们对以上各工具的作用逐一进行分析。

远程会话管理工具screen

screen主要用于管理多窗口、使进程与原始远程连接脱离。

多窗口管理

[page] 有时我们需要执行一些比较耗时的程序，在这些程序运行结束后，我们才能操作终端。假如在耗时程序运行过程中，还想进行其他操作，那就需要另打开远程登陆终端。使用screen，可以避免打开多个登陆终端，下面来看使用screen模拟打开多个窗口的方法。

在执行screen程序前，使用who命令可以查到A机器上有两个用户，分别从本地、远程登入：

linux:/tmp/.sshwho

lx::59

lxpts/:05（192.168.1.102）

通过远程pts/0运行screen后，进入一个新的命令操作窗口，并增加了一个远程登入：

linux:/tmp/.sshwho

lx::59

lxpts/:05（192.168.1.102）

lxpts/:40

在screen中，我们可以使用ctrl+a+c组合键创建新的窗口，使用ctrl+a+n/p组合键在窗口间来回切换。这样，当耗时程序被执行时，我们可以新建或切换到其他窗口，进行其他操作。

脱离原始远程连接

通过远程终端执行程序，程序尚未退出的情况下关闭远程连接，那么程序也会跟着中止。这将导致耗时程序尚未完成工作就退出、中尚未保存的文件丢失。使用screen，可以达到进程不随远程连接关闭而退出的目的，这也是screen最主要的功能。

在screen窗口下，我们执行一个程序：

linux:/tmp/loop./endless_loop

程序执行时，我们将远程登陆终端关闭，在服务器本地开启终端，可以看到远程终端已经关闭：

linux:/tmp/loopwho

lx::59

lxpts/:04（：0.0）

[page] 再来查之前通过远程拉起的endless_loop进程，可以看到其仍在运行，并且screen为其祖先进程：

linux:/tmp/loopps-elf|grependless|grep-vgrep

0Rlx:24pts/100:00:32./endless_loop

linux:/tmp/loopps-elf|grep4586|grep-vendless|grep-vgrep

0Slxwait20:02pts/100:00:00/bin/bash

linux:/tmp/loopps-elf|grep4585|grep-vgrep|grep-v4586

1Slx:02?00:00:00./SCREEN

暴力破解帐号

hacker费时费力入侵服务器，当然不会无欲无求，入侵服务器后，hacker要不获取服务器上的资料信息，要不就是将服务器变成肉机，用其破解更多服务器的帐号。暴力破解服务器帐号需要通过某一系统服务，例如pop3、ssh、telnet等，其过程可以分解为两个步骤。