某省信息安全管理与评估二阶段Linux应急响应

admin 2025年3月21日00:33:56评论4 views字数 1848阅读6分9秒阅读模式
某省信息安全管理与评估二阶段Linux应急响应
相关账户密码:root/123456
某省信息安全管理与评估二阶段Linux应急响应
拿到虚拟机打开配置网络NAT模式
某省信息安全管理与评估二阶段Linux应急响应
开机开搞
某省信息安全管理与评估二阶段Linux应急响应

解题思路

1、提交攻击者的IP地址;

ssh登录看一下命令的历史记录(先备份历史记录)

history > history.txtcat history.txt
某省信息安全管理与评估二阶段Linux应急响应

在历史命令里面看到web是用apache搭建的

某省信息安全管理与评估二阶段Linux应急响应

还看到了一个定时计划,查看一下

crontab -l
某省信息安全管理与评估二阶段Linux应急响应

发现是定时启动一个文件,去找到这个文件看看里面的内容是不是恶意文件

find / -name prism
某省信息安全管理与评估二阶段Linux应急响应

打开看到全是乱码,看到有一个带shell的数据,看题目感觉像是恶意文件

cat /root/.mal/prism
某省信息安全管理与评估二阶段Linux应急响应

这里看完了,看到这里已经确定一些东西了,去找一下web的日志,看看有没有IP不知道哪些默认日志在哪的可以去看看我的基础篇

应急响应 - Linux基础篇

cd /var/log/apache2
某省信息安全管理与评估二阶段Linux应急响应

看到这里有5个日志,access.log是当前日志,access.log.1是之前的日志,进去看看

cat access.log.1
某省信息安全管理与评估二阶段Linux应急响应

随便往上面翻了一下,看到攻击者在目录爆破192.168.1.7爆破工具是"DIRSEARCH"

2、识别攻击者使用的操作系统;

过滤一下攻击者的IP

cat access.log.1 | grep 192.168.1.7
某省信息安全管理与评估二阶段Linux应急响应

看到攻击者访问web的时候带的指纹"Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0"题目说的是操作系统那就是这个了:Linux x86_64

3、找出攻击者资产收集所使用的平台;

资产平台大多数都是那几个,一个一个的过滤一下

cat access.log.1 | grep 192.168.1.7 |grep shodan

信息收集(搜索引擎篇)帮你节省时间扩大攻击面

某省信息安全管理与评估二阶段Linux应急响应

看到一个链接"https://www.shodan.io/search?query=php"那就是

shodan

4、提交攻击者目录扫描所使用的工具名称;

在攻击者爆破目录的时候已经出来了dirsearch

5、提交攻击者首次攻击成功的时间,格式:DD /MM/YY:HH:MM:SS;

攻击成功的时间要看攻击者目录爆破完了后面进行的操作,看到前面都是get爆破目录,过滤一下POST看看有没有进行登录操作

cat -v access.log.1 | grep 192.168.1.7 |grep POST 
某省信息安全管理与评估二阶段Linux应急响应

第一段命令找不到是因为日志文件是二进制的cat查看有一些会不读取,需要加上-v参数强制读取。

某省信息安全管理与评估二阶段Linux应急响应

这里看到一个upload一个上传,应该是上传了一个恶意文件,过滤看攻击者最后的几条攻击日志

cat -v access.log.1 | grep 192.168.1.7
某省信息安全管理与评估二阶段Linux应急响应

攻击者在上传完文件访问了一个1.php,应该是木马,上传成功就是首次攻击成功的时间 24/Apr/2022:15:25:53 +0000

6、找到攻击者写入的恶意后门文件,提交文件名(完整路径)和后门密码;

上面已经知道恶意文件的名字了,查找一下位置

find / -name 1.php //查找cat /var/www/html/data/avatar/1.php
某省信息安全管理与评估二阶段Linux应急响应

找到文件位置加密码:/var/www/html/data/avatar/1.php+2022

7、找到攻击者隐藏在正常web应用代码中的恶意代码,提交该文件名(完整路径);

隐藏在web应用代码里面的恶意代码,应该是攻击者的这一个简单的一句话木马很容易被发现,于是进行了备份隐藏。过滤一下php的代码

cat `find / -name *.php -type f ` | grep eval//查看全盘所有.PHP文件并检查是否包含eval,包含就显示出来
某省信息安全管理与评估二阶段Linux应急响应

果然在一个php文件里面找到了一句话木马,反向查找一下文件

find / -name *.php -type f | xargs grep eval //在全盘搜索所有 .php 文件,检查是否包含 eval 关键字
某省信息安全管理与评估二阶段Linux应急响应

找到恶意代码的文件位置:/var/www/html/footer.php

8、识别系统中存在的恶意程序进程,提交进程名;

查看进程直接ps查看

ps -aux
某省信息安全管理与评估二阶段Linux应急响应

又是这个文件,在启动计划里,历史命令也出现过,那就符合恶意程序的性质了。那这个就是恶意程序了:./prism

9、找到文件系统中的恶意程序文件并提交文件名(完整路径);

恶意程序确定了那这个一开始就找到了: /root/.mal/prism

原文始发于微信公众号(信安一把索):某省信息安全管理与评估二阶段Linux应急响应

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月21日00:33:56
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   某省信息安全管理与评估二阶段Linux应急响应https://cn-sec.com/archives/3863382.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息