黑客攻防之可疑文件还原【一】

在一般的攻防对抗中，常常会遇到机器上被放了后门的情况，但这些文件一般是经过处理的，无法直接看出问题所在，这样增加了入侵检测的难度，下面我把入侵检测中真实遇到的例子，结合我之前的一些经验分享给大家，希望大家能对入侵检测有些新的认识，文中的不当之处，也希望大家能联系我纠正，谢谢！
    假设我们检测到了机器10.125.7.191有异常，下面需要对异常进行确认，并找到攻击者是如何利用漏洞的。
    第一步，登录10.125.7.191，查看当前的网络连接情况sudo netstat -anlput，发现了可疑的监听：


可疑进程id是17498.
      第二步，查看此进程的详细信息,sudo ls -l /proc/17498| grep cwd

查看父进程id,ps elf | grep 17498

查看父进程的命令行参数：cat /proc/17490/cmdline

    至此，已经能看到文件是在/tmp目录下，父进程是通过bash命令先编译了b.c然后又删除了b.c最后，后台执行了.b文件启动了端口监听。
    第三步，进入到/tmp路径下，找到.b文件进行分析：
     查看文件时，发现了两个可疑的隐藏文件：.a和.b

    第四步，查看文件的类型，发现一个是pyc类型,一个是可执行文件：

 而且在.a中发现了刚才命令中的执行的命令：
  
     现在看来解开迷团需要从pyc找到突破口。
下一篇文章会花时间来进行第二阶段的分析。