Linux应急故事之四两拨千斤：黑客一个小小玩法，如何看瞎双眼

./h是进程伪装工具XHide，网上有开源代码，那个/usr/sbin/apache路径就是XHide伪装的。

原理也很简单，调用execv创建目标进程。

挖矿病毒就是开源的xmrig，从config.json中读取钱包地址后开始挖矿。

为了做隐藏，黑客做了一些小技巧，一个是利用肉眼视觉惯性和疲劳，创建了一个肉眼难以察觉的目录，另外一个小技巧，就是利用Xhide黑客工具伪装出了一个不存在的文件位置/usr/sbin/apache，放了一个烟雾弹。

仔细想想，黑客做的这些小技巧，确实蒙蔽了大多数的人，也起到了四两拨千斤的效果!

5. 追根溯源

隐藏的根因我们已经挖到了，入侵根因呢?

我们在/var/log/secure日志当中发现了有端倪的现象，这个Linux系统安全日志，记录用户和工作组变化情况、用户登陆认证情况，其有大量认证失败的日志。

源地址为XX的IP大量尝试了不同的用户名与密码。从23日凌晨开始一直在持续，用户名是按照字符排序进行尝试，于凌晨XX点XX分XX秒时刻成功爆破。

6. 回首总结

这里，我们再一次回顾这个事件。有一点，用户做得特别好，就是及时关注了深信服安全感知平台的安全事件，极早了排除安全隐患。

挖矿病毒是当前安全事件中最为流行的一种病毒，深信服安全感知对这类病毒有近乎100%的准确率。

此外，建议用户对Linux主机进行安全基线的加固，增加密码的复杂度与帐号锁定策略。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!