• 玄机-第一章 应急响应- Linux入侵排查


    前言

    作者这一次也是差一点一次过,因为没有经验的原因,或者说题目对问题描述不太对,如果说是求黑客反连的ip的话我或许就知道要执行一下留下来的那个 .elf 可疑文件。

    简介

    账号:root 密码:linuxruqin
    ssh root@IP
    1.web目录存在木马,请找到木马的密码提交
    2.服务器疑似存在不死马,请找到不死马的密码提交
    3.不死马是通过哪个文件生成的,请提交文件名
    4.黑客留下了木马文件,请找出黑客的服务器ip提交
    5.黑客留下了木马文件,请找出黑客服务器开启的监端口提交

    应急开始

    准备工作

    • 题目说明了web目录下存在木马,为了节省时间,连上服务器后直接cd /var/www/html (不是这个的话再另外找目录,一般是这个目录。)
    • 进入目录后直接导出来,准备webshell查杀工具
      我这里用D盾和河马扫一遍
      在这里插入图片描述
      在这里插入图片描述

    这里使用河马发现他每次误报都好多,看来不更新后已经快跟不上了。

    同时找到了几个webshell文件分别是:

    • 1.php
    • .shell.php
    • index.php
    • 注意:'shell(1).elf' 这个是反连黑客服务器的程序文件。
      这个文件是elf可执行文件,名字已经很明显了,但是我经验比较少且比较犟,就一直看log日志去了,没有想到这个是反连的程序文件,但是我主要还是题目问题描述有问题吧,要是改成反连过去的黑客ip我肯定优先执行该文件。

    步骤 1

    1.web目录存在木马,请找到木马的密码提交

    • webshell查杀工具扫描出来后,直接看最明显的一句话木马就是1.php
      在这里插入图片描述
    • flag为:
      flag{1}

    步骤 2

    2.服务器疑似存在不死马,请找到不死马的密码提交

    • 不死马(杀不死的马)
      其实就是通过一个脚本不停的去检测另外一个木马是否存在,不存在的话就创建出来,然后该检测脚本一般来说会定期执行去检测另外的;不死webshell木马是否存在。
      题目使用除了1.php后,可以发现是index.php不停的去检测和创建不死马,创建.shell.php这个不死webshell木马,创建.符号开头也很明确了,就是为了创建隐藏webshell连接木马。
    • 不死马连接密码
      在这里插入图片描述
      5d41402abc4b2a76b9719d911017c592 == md5(hello)
      在这里插入图片描述
    • flag为:
      flag{hello}

    步骤 3

    3.不死马是通过哪个文件生成的,请提交文件名

    • 在步骤2中,我们已经分析出来index.php是创建不死马的,所以flag就直接出来了。
    • flag为:
      flag{index.php}

    步骤 4

    4.黑客留下了木马文件,请找出黑客的服务器ip提交

    • 这里确实是一个坑,题目要是改成:请找出反连黑客的服务器ip,我必定先去运行一下 /var/www/html 目录下的 'shell(1).elf' 文件,因为很明显了。
      直接执行的话执行不了,因为没有x执行权限,加权限即可:
      root@ip-10-0-10-1:/var/www/html# chmod +x shell\(1\).elf
      root@ip-10-0-10-1:/var/www/html# ./shell\(1\).elf &
      
    • netstat -alntup #查看一下连接情况(看连接程序文件名字为.shell(1).elf的即可)
      在这里插入图片描述
    • flag为:
      flag{10.11.55.21}

    步骤5

    5.黑客留下了木马文件,请找出黑客服务器开启的监端口提交

    • 步骤4了解后,那么端口号也知道了
    • flag为:
      flag{3333}

    总结


    成果:
    flag{1}
    flag{hello}
    flag{index.php}
    flag{10.11.55.21}
    flag{3333}


    其实将样本备份出来后,分析完成后,应该要删除掉服务器上面所有webshell文件和后门,并且进行一轮入侵排查。
    做完这题的感受就是,在做应急之前的准备工作很重要,虽然这次依旧是10金币的时间做完,但是已经相比之前快了很多,能够逐渐熟悉整个应急流程了。其实很学到了不死马这个词语,说实话作者真的是菜鸟一个,好多术语名词都没有真正去了解和熟悉认识,通过做题来弥补也挺好。
    (注:本题目在第一章中属于中等难度,相比另外两个题目难度大的,所以我是按照难度来做的先后顺序,所以我才觉得熟练了)

  • 相关阅读:
    数据结构 - 链表详解一 - 链表的介绍
    html2canvas与window.devicePixelRatio
    使用 MySQL 实现 Java 版的 hashCode 函数
    golang validator 包的使用指北
    VINS中的重力-尺度-速度初始化(2)
    【DropBlock】《DropBlock:A regularization method for convolutional networks》
    pytest合集(2)— pytest运行方式
    架构师日常(二)
    【2024】深度学习配置环境常见报错,持续更新中....
    Leetcode99. 恢复二叉搜索树
  • 原文地址:https://www.cnblogs.com/dhan/p/18306412