. : : ClassiClub ForuM : : .

会员中心 论坛帮助 日历事件 标记论坛已读
返回   精品技术论坛 » 技术论坛 » 『软件使用』

『软件使用』: 电脑软件推荐, 电脑软件使用, 经验分享



发表新主题 回复
 
主题工具
madi1231
 
madi1231 的头像
终极会员
 
资 料:
注册日期: Aug 2000
帖子: 9,919 声望值: 4
精华: 4,解答: 37
#1 旧 2021-04-24, 17:45:44 默认 【求助】能否根据Client Protocol的值判断SSH客户端是啥?
madi1231 当前离线  

抓包发现Client Protocol的值是SSH-2.0-Go,能反推出来客户端是啥或木马病毒是啥吗?


小时候,幸福是很简单的事!现在的我们,简单是很幸福的事!
回复时引用此帖
ASBai
 
ASBai 的头像
热心会员
 
资 料:
注册日期: May 2005
帖子: 5,174 声望值: 5
精华: 18,解答: 28
#2 旧 2021-04-24, 17:55:33 默认
ASBai 当前离线  

随便搜了下:https://github.com/evanphx/ssh/blob/master/client.go


baiy.cn
俺的原创免费作品站
回复时引用此帖
madi1231
 
madi1231 的头像
终极会员
 
资 料:
注册日期: Aug 2000
帖子: 9,919 声望值: 4
精华: 4,解答: 37
#3 旧 2021-04-24, 18:48:02 默认
madi1231 当前离线  

引用:
作者: ASBai 查看帖子
它编译出的执行文件名字是ssh还是client.go?我需要在系统里搜索这个客户端
回复时引用此帖
lk99
 
lk99 的头像
热心会员
 
资 料:
注册日期: Nov 2001
帖子: 3,150 声望值: 4
精华: 0,解答: 2
#4 旧 2021-04-25, 21:53:27 默认
lk99 当前离线  

编译出来就是可执行文件了,去查进程吧。


CCF.Zzzz
Don't play for safety --- it's the most dangerous thing in the world.
回复时引用此帖
madi1231
 
madi1231 的头像
终极会员
 
资 料:
注册日期: Aug 2000
帖子: 9,919 声望值: 4
精华: 4,解答: 37
#5 旧 2021-04-27, 06:23:32 默认
madi1231 当前离线  

事情是这样的,一台机器向好多IP地址发起成百上千的SSH连接,但在交换了密钥阶段之后就中断,想知道何种病毒是专门连22端口的?
回复时引用此帖
WhoCares
 
WhoCares 的头像
传说中的……
 
资 料:
注册日期: Dec 2000
帖子: 6,958 声望值: 3
精华: 0,解答: 51
#6 旧 2021-04-27, 08:02:59 默认
WhoCares 当前离线  

用看端口的工具看一下是哪个进程。windows的话,netstat -nao也能看


Life finds a way. Jurassic Park (1993)
回复时引用此帖
madi1231
 
madi1231 的头像
终极会员
 
资 料:
注册日期: Aug 2000
帖子: 9,919 声望值: 4
精华: 4,解答: 37
#7 旧 2021-04-27, 08:31:16 默认
madi1231 当前离线  

问题是现在这个机器不发包连接了,攻击事件无法重现,看端口恐怕找不到原因啊
回复时引用此帖
闪亮
 
闪亮 的头像
终极会员
 
资 料:
注册日期: Aug 2001
帖子: 10,410 声望值: 7
精华: 2,解答: 16
#8 旧 2021-04-27, 13:37:42 默认
闪亮 当前离线  

这种不是什么病毒,就是常规的扫描。暴露在互联网上,什么乱七八糟的扫描都有。


宝贝宝贝笑一笑 笑容其实很美妙
只要天天没烦恼 其他一切不重要
回复时引用此帖
发表新主题 回复

主题工具

论坛规则  发帖规则
不可以发表主题
不可以回复帖子
不可以上传附件
不可以编辑自己的帖子
论坛启用 vB 代码
版面启用 表情符号
版面启用 [IMG] 代码
版面禁用 HTML 代码


所有时间均为北京时间, 现在的时间是 22:58:17.

本论坛带宽由迅通网络提供
SSL证书由TrustAsia提供

Copyright © 2000 - 2019 ClassiClub Forum All Rights Reserved.
粤ICP备09123456号