一、Linux常见远程下载工具

  Linux中远程下载文件的常用命令有curl、wget和scp。

二、工具详情

1、Curl

1）功能：

  curl命令是一个功能强大的工具，可以用来传输数据，支持多种协议，包括HTTP、HTTPS、FTP等。通过curl命令可以远程下载文件，并保存到本地。

2）语法：

  curl -o 本地文件名 远程文件URL

3）示例：

  curl -o example.txt http://example.com/example.txt <下载一个文件到当前目录下，并将其命名为example.txt>

2、wget

1）功能：

  wget命令是一个非常流行的Linux命令，也是一个功能强大的文件下载工具。它支持HTTP、HTTPS、FTP等协议，并具有断点续传、多线程下载等功能。

2）语法：

  wget 远程文件URL

3）示例：

  wget http://example.com/example.txt  <下载一个文件到当前目录下>

  wget -o example.txt http://example.com/example.txt  <将下载的文件保存为其他名称，可以使用-o选项指定文件名>

3、SCP

1）功能：

  scp命令是一个用于在Linux系统中进行远程文件传输的命令，它基于SSH协议，可以安全地从远程服务器上复制文件到本地。

2）语法：

  scp 远程服务器用户名@远程服务器IP:远程文件路径 本地目标路径

3）示例：

  scp user@remote-server:/path/to/file /home/user  <从远程服务器上下载一个文件，并保存到本地/home/user目录下>

(tip:使用scp命令进行文件传输时，需要提供远程服务器的用户名和密码或者使用密钥进行认证)

三、检测思路

1、攻击场景

  攻击者拿下目标主机的访问权限后，会尝试投递后门或恶意代码到目标主机以实现持久化控制。该规则检测攻击者使用Wget、Curl、SCP等工具下载文件的行为。攻击者可在目标主机上下载并执行一些恶意文件。

2、检测规则思路

• 数据源：终端检测日志
• 命中逻辑：
  • or：
    • 进程命令行 包含（忽略大小写） 'wget'
    • 进程命令行 包含（忽略大小写） 'curl'
    • 进程命令行 包含（忽略大小写） 'scp'
• 检测时间：10m
• 归并分组：受害者IP/设备IP
• 统计次数：count >= 1