记一次dev服务器被黑的应急响应过程
小王急匆匆地找到小张,小王说"李哥,我dev服务器被黑了",快救救我!!
挑战内容:
1.黑客的IP地址
2.遗留下的三个flag
靶场获取地址:
下载地址
https://pan.quark.cn/s/4b6dffd0c51a
解压后直接用Vmware打开即可。
相关账户密码:
defend/defend
root/defend
蓝队工具箱获取地址:
Github地址:
https://github.com/ChinaRan0/BlueTeamTools
蓝队工具箱v2024.7
https://pan.quark.cn/s/6d7856efd1d1
1.黑客的IP地址
直接上火麒麟
https://github.com/MountCloud/FireKylin
直接上LinuxCheck脚本
https://github.com/al0ne/LinuxCheck
黑客暴力破解的IP:192.168.75.129
看一眼,redis日志文件等级
cat /etc/redis.conf | grep loglevel
发现为verbose,直接去找redis日志文件
看一下连接日志
cat /var/log/redis/redis.log | grep Accept
黑客Redis连接的IP还是192.168.75.129
黑客ip:192.168.75.129
2.遗留下的三个flag
falg1:flag{thisismybaby}
falg2:flag{kfcvme50}
查看redis配置文件
/etc/redis.conf
falg3:flag{P@ssW0rd_redis}
原文始发于微信公众号(利刃信安):【应急响应】记一次dev服务器被黑的应急响应过程
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论