#GRUB引导参数劫持:域名抢注者如何篡改内核启动项劫持服务器流量
几个月前帮朋友查一台CentOS 7机器,Nginx日志里有个过期域名还在源源不断地产生流量,可解析记录早就删干净了。查到最后,在/etc/grub2.cfg里看到启动参数被偷偷塞了一条rd.break。这手法说穿了不值钱,可一旦有人摸到物理或者VNC控制台,你的服务器就跟没锁门一样。攻击者通过GRUB菜单编辑,添加rd.break或init=/bin/bash参数,获得root shell后修改DNS或iptables规则,将流量劫持到恶意站点。这种攻击不触发常规监控,防御需设置GRUB密码并封禁危险入口。
git checkout