文章总结： 本文记录了VPS反弹Shell告警的应急响应过程。作者通过排查网络连接与计划任务，清除多处后门，最终定位并删除了隐藏的/etc/profile.d/1.sh脚本。处置建议包括云防火墙封禁、修改SSH密码、安装防护软件及定期巡检，强调了持久化排查的耐心与安全对抗的持续性。 综合评分： 89 文章分类： 应急响应,终端安全,网络安全,实战经验

0x03事件处置

1、云防火墙对反弹端口进行限制，对反弹shell IP进行黑名单处置。

2、对终端进行安全基线加固，修改ssh登录密码。

3、终端安装安全防护软件。

4、定期巡检终端系统。

0x04事件思考****

1、互联网资产风险无处不在，对外的暴露大大增加了被攻击的风险，最小化原则非常重要。

2、终端的应急处置是一个需要耐心、细心、决心的过程。

3、安全产品 WAF、IDS、IPS 等检测系统，可以阻断该攻击行为。

4、安全的本质就是不断持续对抗，该反弹代码在隐藏性、持久性、多样性都有体现。

弥天简介

学海浩茫，予以风动，必降弥天之润！弥天安全实验室成立于2019年2月19日，主要研究安全防守溯源、威胁狩猎、漏洞复现、工具分享等不同领域。目前主要力量为民间白帽子，也是民间组织。主要以技术共享、交流等不断赋能自己，赋能安全圈，为网络安全发展贡献自己的微薄之力。

口号 网安引领时代，弥天点亮未来

知识分享完了

喜欢别忘了关注我们哦~

学海浩茫，

予以风动，

必降弥天之润！

弥  天

安全实验室

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：弥天安全实验室 弥天安全实验室《【应急响应】记一次VPS反弹shell告警处置》