シェル接続を反転
侵入が成功した場合、なぜリバースシェル接続がそれほど人気があるのですか?多くの「ハッキング」ビデオがこれを示しており、実際によく見られます。
ほとんどのサーバーは、奇数ポート上のサーバーによって開始された発信接続を制限しませんか?これは基本的なファイアウォールルールではありませんか?
ファイアウォールをバイパスする可能性が高いため、この手法は使用されていないようですが、なぜかわかりません。
私の経験によれば、多くの人々はそもそも攻撃の防止に集中しており、影響を緩和することに集中していません。したがって、発信ファイアウォールルールは多くの場合、優先されません。特に、自動更新が必要な場合は、更新サーバーの例外を定義する必要があるためです。 IPアドレスのリストは最新の状態に保つ必要があります。
私の経験では、攻撃者がphpshell/perlshell/etcをアップロードしようとする方が一般的です。ファイルアップロードフォーム。攻撃者は、スクリプトの実行が有効になっているWebサーバー経由で到達可能なフォルダーにファイルが保存されることを期待しています。または、PHPコードとリモートインクルードをリクエストパラメータに挿入します。さらに、SQLおよびXSS攻撃は非常に一般的であり、フィッシングもそうです。もちろん、私の観察は、私が活動している分野(Webアプリケーションとオンラインゲームのセキュリティ)によるバイアスです。
そうは言っても、もちろん、発信ファイアウォールルールを用意することは、依然として良い考えです。
ファイアウォールにはsomeオープンの送信ポートがあり、悪意のある人がそれを見つけて使用します。通常、ポート443(HTTPS)を介してトンネリングできます。そうでない場合は、プロキシサーバーを介して中継されるHTTPメッセージを隠すことができます。ヘック、PositivePRO VPN製品はこれを実行します(少なくとも、実行しました)。
サーバーに送信ファイアウォールルールがあり、悪意のあるユーザーが所有している程度に応じて、それを無効にしたり回避したりできる場合があります(「程度」がない場合もあることに注意してください)所有-あなたはそうであるか、そうではありません)。
なぜシェル?まあ、一般的にはGUIから実行できるコマンドプロンプトから何でも実行できます。また、RDPを介してグラフィカルアプリをトンネリングするよりも高速で軽量です。それらはボックス上でも非表示になりやすく、メモリとCPUのフットプリントが小さくなります。