我有点想法,但我想咨询一下。我按照这个指南来找出哪些 php 进程会产生传出的暴力攻击。我找到了罪魁祸首,一切正常。
现在,我该如何为所有这些创建一个自动化系统?某种脚本会插入 cron 作业,创建其他脚本,设置所有内容,使用 grep 在文件中查找 IP 地址,然后分析其他文件以提供特定的 php 进程 + 域。
或者也许使用一个脚本来检查传出的流量是否与 POST /xmlrpc.php 匹配会更简单。
或者也许这一切都已经解决了,我只是在浪费时间。
谢谢您的意见 :)
答案1
我有点想法,但我想咨询一下。我按照这个指南来找出哪些 php 进程会产生传出的暴力攻击。我找到了罪魁祸首,一切正常。
问题是你的方法是疯狂的。
你不知道攻击者是否留下了其他后门,也没有修补漏洞。对此类安全问题的正常反应是不是找到有问题的脚本 - 而是从备份或代码存储库中恢复。
话虽如此,但入侵检测系统还是有很多的。但标记通常用于查找受感染的机器,而不是脚本级别 - 原因我上面已经概述了。