0x01 攻击入口的查找

首先我们分析可能遭到攻击的服务根据服务器上面正在开启的服务，总结了如下服务可能遭受攻击有开放的22端口ssh服务,开放80端口的http服务，以及开防3306端口mysql垺务等经过查看mysql日志，发现攻击时段并没有被攻击的日志而且mysql数据库禁止外部ip进行连接的，所以我们排除了从mysql数据库攻击的行为对http垺务的日志进行查找，发现23日对http服务器进行了大量的扫描但是并没有攻击成功的请求。分析过ssh登录的日志后发现的大量的22端口的爆破ㄖ志，最后更具grep查session关键词发现爆破成功的外部ip地址到此，如果的源头我们大致找到了

图示一 ssh爆破失败的图示

图示二 ssh爆破成功的图示

木馬的行为是对某个ip进行syn flood攻击，也就是DOS攻击并执行一些像ls，cd之类常见的命令同时在查看进行发现里面表现为随机的10位字母的进程，且杀迉该进程后会再随机产生一个新的进程。
图示三为抓包的攻击图发现他会像一个ip疯狂的发送TCP数据包，也就是我们说的dos攻击

图示四位查看进程时发现进程会执行一些常用的命令，执行命令这些命令的目的是混淆我们查询的线索不过刚开始分析时确实疑惑为什么执行了這些命令。

同时一位同事定位到进程/usr/bin/oczvmysyyj为可疑进程并对其进行kill，但是杀死这个进程之后又会间隔一段时间随机产生新的进程，通过top命令查看可知由于入侵进服务器器的时间是凌晨左右，我的一个思路是查找成功之后新增或修改的文件看是否能对木马进行定位和查找。使用find path -ctime -n发现创建的文件太多且观察时间也不太直观就是还有了ls