解题思路
1、提交攻击者的IP地址;
ssh登录看一下命令的历史记录(先备份历史记录)
history > history.txtcat history.txt
在历史命令里面看到web是用apache搭建的
还看到了一个定时计划,查看一下
crontab -l
发现是定时启动一个文件,去找到这个文件看看里面的内容是不是恶意文件
find / -name prism
打开看到全是乱码,看到有一个带shell的数据,看题目感觉像是恶意文件
cat /root/.mal/prism
这里看完了,看到这里已经确定一些东西了,去找一下web的日志,看看有没有IP不知道哪些默认日志在哪的可以去看看我的基础篇
cd /var/log/apache2
看到这里有5个日志,access.log是当前日志,access.log.1是之前的日志,进去看看
cat access.log.1
随便往上面翻了一下,看到攻击者在目录爆破192.168.1.7爆破工具是"DIRSEARCH"
2、识别攻击者使用的操作系统;
过滤一下攻击者的IP
cat access.log.1 | grep 192.168.1.7
看到攻击者访问web的时候带的指纹"Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0"题目说的是操作系统那就是这个了:Linux x86_64
3、找出攻击者资产收集所使用的平台;
资产平台大多数都是那几个,一个一个的过滤一下
cat access.log.1 | grep 192.168.1.7 |grep shodan
看到一个链接"https://www.shodan.io/search?query=php"那就是
shodan
4、提交攻击者目录扫描所使用的工具名称;
在攻击者爆破目录的时候已经出来了dirsearch
5、提交攻击者首次攻击成功的时间,格式:DD /MM/YY:HH:MM:SS;
攻击成功的时间要看攻击者目录爆破完了后面进行的操作,看到前面都是get爆破目录,过滤一下POST看看有没有进行登录操作
cat -v access.log.1 | grep 192.168.1.7 |grep POST 
第一段命令找不到是因为日志文件是二进制的cat查看有一些会不读取,需要加上-v参数强制读取。
这里看到一个upload一个上传,应该是上传了一个恶意文件,过滤看攻击者最后的几条攻击日志
cat -v access.log.1 | grep 192.168.1.7
攻击者在上传完文件访问了一个1.php,应该是木马,上传成功就是首次攻击成功的时间 24/Apr/2022:15:25:53 +0000
6、找到攻击者写入的恶意后门文件,提交文件名(完整路径)和后门密码;
上面已经知道恶意文件的名字了,查找一下位置
find / -name 1.php //查找cat /var/www/html/data/avatar/1.php
找到文件位置加密码:/var/www/html/data/avatar/1.php+2022
7、找到攻击者隐藏在正常web应用代码中的恶意代码,提交该文件名(完整路径);
隐藏在web应用代码里面的恶意代码,应该是攻击者的这一个简单的一句话木马很容易被发现,于是进行了备份隐藏。过滤一下php的代码
cat `find / -name *.php -type f ` | grep eval//查看全盘所有.PHP文件并检查是否包含eval,包含就显示出来
果然在一个php文件里面找到了一句话木马,反向查找一下文件
find / -name *.php -type f | xargs grep eval//在全盘搜索所有 .php 文件,检查是否包含 eval 关键字
找到恶意代码的文件位置:/var/www/html/footer.php
8、识别系统中存在的恶意程序进程,提交进程名;
查看进程直接ps查看
ps -aux
又是这个文件,在启动计划里,历史命令也出现过,那就符合恶意程序的性质了。那这个就是恶意程序了:./prism
9、找到文件系统中的恶意程序文件并提交文件名(完整路径);
原文始发于微信公众号(信安一把索):某省信息安全管理与评估二阶段Linux应急响应
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论