作者:小刚
一位苦于信息安全的萌新小白帽,记得关注给个赞,谢谢
本实验仅用于信息防御教学,切勿用于其它用途
反黑客-命令操作录像
操作录像
现在监控黑客有很多方法,比如蜜罐
但是当黑客绕过了蜜罐,进入了我们真实主机环境,进行了一系列的操作,隐藏进程等等
我们还是要留一手的,留一手用来监控黑客都干了啥,好来还原进程,找出隐藏的木马。
在linux系统上有两个命令,script和scriptreplay能够对命令运行过程进行录像操作
用法非常的简单,但是效果可是杠杠的
script录像
(起初我还以为script标签呢)
script -t 2>test.time -a test.text
运行之后,就会开始记录所有操作的命令,并记录到test.text文件中,test.time用来记录操作的时间线。
ctrl+D结束录制
scriptreplay播放录像
scriptreplay test.time test.text
运行后会根据time的时间线进行text命令的播放操作
自动记录黑客
自动开始记录黑客的原理是:
用户登录或切换时都有一个专用的运行环境,但首先执行 /etc/profile文件
利用这个原理,在profile中写入命令运行script
1.首先创建一个不起眼的文件夹
mkdir /etc/study
创建文件夹,用来存放录像保存的文件,不起眼是防止黑客找到删除这些文件
2.修改/etc/profile
vi /etc/profile
添加内容
fi
script -t -f -q 2>/etc/study/$USER-$UID-`date +%Y%m%d%H%M%S`.time -a /etc/study/$USER-$UID-`date +%Y%m%d%H%M%S`.his
if [ "$SHLEL" = 1 ]; then
exit
-q命令是静默后台运行命令,防止黑客察觉
这样就算完成了
3.开启ssh服务,进行连接测试
我用xshell连接的kali主机
连接进去后,进行一些命令操作
最后退出过程发现需要退出两次
说明刚连接进去就触发了script录像
第一次退出进行了关闭script操作,第二次才成功退出客户端
4.查看文件
在/etc/study文件夹中成功发现了录制的文件
使用scriptreplay进行播放录像
scriptreplay root-0-20200903082458.time root-0-20200903082458.his
注意
此操作虽然是保障,但是也存在绕过方式
绕过方式特别的简单
ssh连接进去之后,先exit退出一下,这样script命令就停止了运行
然后在进行的一系列命令操作都不会被记录下来,实现了绕过
最近Xshell7公测,想要的小伙伴
可关注微信公众号:XG小刚
回复:Xshell7
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
