提醒:點上方↑“黑客技術(shù)”即可免費訂閱我。

1. 什么是植入式攻擊？

什么是植入式攻擊，通俗的說就是掛馬，通過各種手段將木馬上傳到你的系統(tǒng)，修改原有程序，或者偽裝程序是你很難發(fā)現(xiàn)，常住系統(tǒng)等等。

2. 為什么駭客會在你的系統(tǒng)里面植入木馬？

通常掛馬攻擊駭客都是有目的的很少會破壞你的系統(tǒng)，而是利用你的系統(tǒng)。

例如，使用你的網(wǎng)絡(luò)作DDOS攻擊，下載你的數(shù)據(jù)資料賣錢等等

3. 什么時候被掛馬？

有時你到一家新公司，接手一堆爛攤子，俗稱“擦屁股”。這是中國是離職，中國式裁員，中國式工作交接.....的結(jié)果，各種奇葩等著你。

你接手第一項工作就是工作交接，最重要的工作可能就是檢查系統(tǒng)后門。通常工作交接少有積極配合的，全要靠你自己。

4. 在那里掛馬的？

在我多年的工作中遇到過很多種形式掛馬，有基于Linux的rootkit，有PHP腳本掛馬，Java掛馬，ASP掛馬。通常駭客會植入數(shù)據(jù)庫瀏覽工具，文件目錄管理工具，壓縮解壓工具等等。

5. 誰會在你的系統(tǒng)里掛馬？

98%是駭客入侵，1%是內(nèi)人干的，1%是開后門僅僅為了工作方便。

本文對現(xiàn)有的系統(tǒng)無能為力，只能監(jiān)控新的入侵植入

6. 怎樣監(jiān)控植入式攻擊

6.1. 程序與數(shù)據(jù)分離

程序包括腳本，變異文件等等，通常是只讀權(quán)限

數(shù)據(jù)是指由程序生成的文件，例如日志

將程序與數(shù)據(jù)分離，存放在不同目錄，設(shè)置不同權(quán)限, 請關(guān)注“延伸閱讀”中的文章，里面有詳細介紹，這里略過。

我們這里關(guān)注一旦運行的程序被撰改怎么辦，包括入侵進入與合法進入?？傊覀円芸焖僦滥切┏绦蛭募恍薷?。前提是我們要將程序與數(shù)據(jù)分離，才能更好地監(jiān)控程序目錄。

6.2. 監(jiān)控文件變化

我使用 Incron 監(jiān)控文件變化

# yum install -y incron # systemctl enable incrond # systemctl start incrond

安裝日志推送程序

$ git clone https://github.com/netkiller/logging.git $ cd logging
$ python3 setup.py sdist
$ python3 setup.py install

配置觸發(fā)事件

# incrontab -e /etc IN_MODIFY /srv/bin/monitor.sh $@/$
# /www IN_MODIFY /srv/bin/monitor.sh $@/$
# # incrontab -l /etc IN_MODIFY /srv/bin/monitor.sh $@/$
# /www IN_MODIFY /srv/bin/monitor.sh $@/$#

/srv/bin/monitor.sh 腳本

# cat /srv/bin/monitor.sh #!/bin/bash echo $@ | /usr/local/bin/rlog -d -H 172.16.0.10 -p 1220 --stdin

/etc 與 /www 目錄中的任何文件被修改都回運行/srv/bin/monitor.sh腳本，/srv/bin/monitor.sh腳本通過/usr/local/bin/rlog程序?qū)⑽募窂綌?shù)據(jù)發(fā)給遠程主機172.16.0.10。

6.3. 安裝日志收集程序

$ git clone https://github.com/netkiller/logging.git $ cd logging
$ python3 setup.py sdist
$ python3 setup.py install

配置收集端端口，編輯文件logging/init.d/ucollection

done << EOF 1220 /backup/172.16.0.10/incron.log 1221 /backup/172.16.0.11/incron.log 1222 /backup/172.16.0.12/incron.log EOF

——————————

關(guān)注微信號：hackdig 學(xué)習(xí)最新黑客技術(shù)！