1 判断10.1.1.12主机web服务的test.cgi是否存在破壳漏洞
1使用ssh登录蠕虫发起者主机(10.1.1.231),执行下面三条命令。命令执行结果如下图所示
2 蠕虫发起者执行蠕虫程序,感染1号主机Worm1
1为了避免自身被感染,向蠕虫表明自己是发起者的身份,我们需要登录10.1.1.231主机,通过下面的命令创建一个文件。
2 继续在10.1.1.231上执行下面的命令,可以找到蠕虫程序。
3 登录worm1,查看/tmp目录
4 继续返回10.1.1.231主机,执行下面的命令,来运行蠕虫程序
5 登录Worm1,执行下面的命令,观察被感染的特征
看一下这个文件中的内容
看看后台进程有没有执行这个文件
可以看到确实在执行,那么这个主机确实内感染了
3 观察Worm1主机蠕虫的传播过程,检查Worm2主机是否被感染
1.登录Worm1(10.1.1.12),不断的执行命令:“ps aux |grep curl”可以看到蠕虫的传播过程,被感染的Worm1通过agent.1337进程,不断的向同网段的其他主机发起攻击与感染
经过一段时间之后(大约10分钟),登录Worm2。同样使用命令:”ls -al /tmp”查看,可以发现主机也被此蠕虫感染
在20.46分时被感染了
浙公网安备 33010602011771号