应急响应- Linux入侵排查

1.web目录存在木马，请找到木马的密码提交
2.服务器疑似存在不死马，请找到不死马的密码提交
3.不死马是通过哪个文件生成的，请提交文件名
4.黑客留下了木马文件，请找出黑客的服务器ip提交
5.黑客留下了木马文件，请找出黑客服务器开启的监端口提交

1.web目录存在木马，请找到木马的密码提交

题目1是web目录存在木马，这种情况我们先切换到web目录下，网站目录/var/www/html，通过ls -l可以看到许多.php文件，一般来说木木都会放在index.php或者一些特殊名字的php文件下面。打开1.php，发现里面有一段代码，<?php eval($ PoST[11);?> 熟悉的人都知道，这是标准的一句话木马。POST里面的就是木马连接密码。提交flag{1}就可以了。

除了这种方法外，还可以通过find+grep命令查找木马常用函数eval()，或者assert（）。我们可以在网站目录下查找包含这个函数的php文件。

find./ -name "*.php" | xargs grep "eval("

2.服务器疑似存在不死马，请找到不死马的密码提交

3.不死马是通过哪个文件生成的，请提交文件名

查看index.php发现其每隔usleep(3000)就会生成一个.shell.php文件，从而使其达到不死马的条件，题目是哪个文件生成的，提交文件名即可。

4.黑客留下了木马文件，请找出黑客的服务器ip提交

一般来说木马文件是以.elf结尾，我们可以在网站目录下看到一个明显的'shell(1).elf'文件，打开看一下里面没找到IP地址。这种情况我们有2个方法，一是把文件通过xftp考下来，放到沙箱里跑一下，可以得到服务器IP地址，或者我们在虚拟机里运行一下，然后查看netstat -antlp，也可以得到回连的IP地址。

1．语法:cd 目录名

2．功能：改变工作目录。将当前工作目录改变到指定的目录下。

举例：cd … : 返回上级目录 cd /home/litao/linux/ : 绝对路径

cd …/day02/ : 相对路径

cd ~：进入用户家目

cd -：返回最近访问目录

补充知识：

从根目录中去找某一个文件称为绝对目录

以当前路径为参照物，找文件成为相对路径

find语法

find [路径] [匹配条件] [动作]

参数说明 :

路径 是要查找的目录路径，可以是一个目录或文件名，也可以是多个路径，多个路径之间用空格分隔，如果未指定路径，则默认为当前目录。

·-name pattern：按文件名查找，支持使用通配符 * 和 ?。

·-type type：按文件类型查找，可以是 f（普通文件）、d（目录）、l（符号链接）等。

·-size [+-]size[cwbkMG]：按文件大小查找，支持使用 + 或 - 表示大于或小于指定大小，单位可以是 c（字节）、w（字数）、b（块数）、k（KB）、M（MB）或 G（GB）。

·-mtime days：按修改时间查找，支持使用 + 或 - 表示在指定天数前或后，days 是一个整数表示天数。

·-user username：按文件所有者查找。

·-group groupname：按文件所属组查找。

动作:可选的，用于对匹配到的文件执行操作，比如删除、复制等。

find 命令中用于时间的参数如下：

·-amin n：查找在 n 分钟内被访问过的文件。

·-atime n：查找在 n*24 小时内被访问过的文件。

·-cmin n：查找在 n 分钟内状态发生变化的文件（例如权限）。

·-ctime n：查找在 n*24 小时内状态发生变化的文件（例如权限）。

·-mmin n：查找在 n 分钟内被修改过的文件。

·-mtime n：查找在 n*24 小时内被修改过的文件。

在这些参数中，n 可以是一个正数、负数或零。正数表示在指定的时间内修改或访问过的文件，负数表示在指定的时间之前修改或访问过的文件，零表示在当前时间点上修改或访问过的文件。

正数应该表示时间之前，负数表示时间之内。

实例

查找当前目录下名为 file.txt 的文件：

find . -name file.txt

将当前目录及其子目录下所有文件后缀为.c 的文件列出来:

# find . -name "*.c"

将当前目录及其子目录中的所有文件列出：

# find . -type f

查找 /home 目录下大于 1MB 的文件：

find /home -size +1M

查找 /var/log 目录下在 7 天前修改过的文件：

find /var/log -mtime +7

查找过去 7 天内被访问的文件:

find /path/to/search -atime -7

在当前目录下查找最近 20 天内状态发生改变的文件和目录:

# find . -ctime 20

将当前目录及其子目录下所有 20 天前及更早更新过的文件列出:

# find . -ctime +20

查找 /var/log 目录中更改时间在 7 日以前的普通文件，并在删除之前询问它们：

# find /var/log -type f -mtime +7 -ok rm {} ;

查找当前目录中文件属主具有读、写权限，并且文件所属组的用户和其他用户具有读权限的文件：

# find . -type f -perm 644 -exec ls -l {} ;

查找系统中所有文件长度为 0 的普通文件，并列出它们的完整路径：

# find / -type f -size 0 -exec ls -l {} ;

找并执行操作（例如删除）：

find /path/to/search -name "pattern" -exec rm {} ;

这个例子中，-exec 选项允许你执行一个命令，{} 将会被匹配到的文件名替代，; 表示命令结束。