前言

作者这一次也是差一点一次过,因为没有经验的原因,或者说题目对问题描述不太对,如果说是求黑客反连的ip的话我或许就知道要执行一下留下来的那个 .elf 可疑文件。

简介

账号:root 密码:linuxruqin

ssh root@IP

1.web目录存在木马,请找到木马的密码提交

2.服务器疑似存在不死马,请找到不死马的密码提交

3.不死马是通过哪个文件生成的,请提交文件名

4.黑客留下了木马文件,请找出黑客的服务器ip提交

5.黑客留下了木马文件,请找出黑客服务器开启的监端口提交

应急开始

准备工作

  • 题目说明了web目录下存在木马,为了节省时间,连上服务器后直接cd /var/www/html (不是这个的话再另外找目录,一般是这个目录。)
  • 进入目录后直接导出来,准备webshell查杀工具

    我这里用D盾和河马扫一遍



这里使用河马发现他每次误报都好多,看来不更新后已经快跟不上了。

同时找到了几个webshell文件分别是:

  • 1.php
  • .shell.php
  • index.php
  • 注意:'shell(1).elf' 这个是反连黑客服务器的程序文件。

    这个文件是elf可执行文件,名字已经很明显了,但是我经验比较少且比较犟,就一直看log日志去了,没有想到这个是反连的程序文件,但是我主要还是题目问题描述有问题吧,要是改成反连过去的黑客ip我肯定优先执行该文件。

步骤 1

1.web目录存在木马,请找到木马的密码提交

  • webshell查杀工具扫描出来后,直接看最明显的一句话木马就是1.php

  • flag为:

    flag{1}

步骤 2

2.服务器疑似存在不死马,请找到不死马的密码提交

  • 不死马(杀不死的马)

    其实就是通过一个脚本不停的去检测另外一个木马是否存在,不存在的话就创建出来,然后该检测脚本一般来说会定期执行去检测另外的;不死webshell木马是否存在。

    题目使用除了1.php后,可以发现是index.php不停的去检测和创建不死马,创建.shell.php这个不死webshell木马,创建.符号开头也很明确了,就是为了创建隐藏webshell连接木马。
  • 不死马连接密码



    5d41402abc4b2a76b9719d911017c592 == md5(hello)

  • flag为:

    flag{hello}

步骤 3

3.不死马是通过哪个文件生成的,请提交文件名

  • 在步骤2中,我们已经分析出来index.php是创建不死马的,所以flag就直接出来了。
  • flag为:

    flag{index.php}

步骤 4

4.黑客留下了木马文件,请找出黑客的服务器ip提交

  • 这里确实是一个坑,题目要是改成:请找出反连黑客的服务器ip,我必定先去运行一下 /var/www/html 目录下的 'shell(1).elf' 文件,因为很明显了。

    直接执行的话执行不了,因为没有x执行权限,加权限即可: 
    root@ip-10-0-10-1:/var/www/html# chmod +x shell\(1\).elf
    
root@ip-10-0-10-1:/var/www/html# ./shell\(1\).elf &
  • netstat -alntup #查看一下连接情况(看连接程序文件名字为.shell(1).elf的即可)

  • flag为:

    flag{10.11.55.21}

步骤5

5.黑客留下了木马文件,请找出黑客服务器开启的监端口提交

  • 步骤4了解后,那么端口号也知道了
  • flag为:

    flag{3333}

总结

成果:

flag{1}

flag{hello}

flag{index.php}

flag{10.11.55.21}

flag{3333}

其实将样本备份出来后,分析完成后,应该要删除掉服务器上面所有webshell文件和后门,并且进行一轮入侵排查。

做完这题的感受就是,在做应急之前的准备工作很重要,虽然这次依旧是10金币的时间做完,但是已经相比之前快了很多,能够逐渐熟悉整个应急流程了。其实很学到了不死马这个词语,说实话作者真的是菜鸟一个,好多术语名词都没有真正去了解和熟悉认识,通过做题来弥补也挺好。

(注:本题目在第一章中属于中等难度,相比另外两个题目难度大的,所以我是按照难度来做的先后顺序,所以我才觉得熟练了)

玄机-第一章 应急响应- Linux入侵排查的更多相关文章

  1. Linux应急响应入门——入侵排查

    点击上方"开源Linux",选择"设为星标" 回复"学习"获取独家整理的学习资料! 账号安全: 1.用户信息文件 /etc/passwd # ...

  2. 6.【应急响应】Linux入侵排查思路

    0x01 入侵排查思路 一.账号安全 基本使用: 1.用户信息文件/etc/passwd root:x:0:0:root:/root:/bin/bash account:password:UID:GI ...

  3. 2013337朱荟潼 Linux第一章读书笔记——Linux内核简介

    一.Unix历史 二.Linux足迹 类Linux系统.非商业化产品.用途广泛 三.操作系统和Linux内核简介 1.操作系统 (1)是指在整个最基本功能系统中负责完成最基本功能和系统管理的部分. ( ...

  4. 第一章 笔记本电脑安装Linux系统(Centos7)

    目标:通过[Linux+Docke+Nginx+Jenkins+k8s(Kubernetes)+CICD(自动化)]进行项目部署 内容:根据个人进度实时分章节记录自己所遇到的问题 一.准备工作 1.下 ...

  5. Linux应急响应入侵排查思路

    0x00 前言 ​ 当企业发生黑客入侵.系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解 ...

  6. Linux安全事件应急响应排查方法总结

    Linux安全事件应急响应排查方法总结 Linux是服务器操作系统中最常用的操作系统,因为其拥有高性能.高扩展性.高安全性,受到了越来越多的运维人员追捧.但是针对Linux服务器操作系统的安全事件也非 ...

  7. windows应急响应入侵排查思路

    0x00 前言 ​ 当企业发生黑客入侵.系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解 ...

  8. 一些关于Linux入侵应急响应的碎碎念

    近半年做了很多应急响应项目,针对黑客入侵.但疲于没有时间来总结一些常用的东西,寄希望用这篇博文分享一些安全工程师在处理应急响应时常见的套路,因为方面众多可能有些杂碎. 个人认为入侵响应的核心无外乎四个 ...

  9. Linux应急响应(一):SSH暴力破解

    0x00 前言 ​ SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议,主要用于给远程登录会话数据进行加密,保证数据传输的安全.SSH口令长度太短或者复杂度不够,如仅包含数字,或仅包 ...

  10. Linux应急响应思路详谈

    一.主机篇: 1.自动化初筛,建议使用RootkitHunter (1)安装 $sudo wget https://jaist.dl.sourceforge.net/project/rkhunter/ ...

随机推荐

  1. salesforce零基础学习(一百三十八)零碎知识点小总结(十)

    本篇参考: https://help.salesforce.com/s/articleView?id=release-notes.rn_apex_5level_SOQLqueries.htm& ...

  2. 零代码零硬件玩转华为云IoT,基于设备联动实时监控设备

    本文分享自华为云社区<一键守护,实时洞察:华为云IoT设备联动,智能感知设备状态变化,精准触发告警通知[零代码零硬件玩转华为云IoT]>,作者:周周的奇妙编程. 前言 在前面我们已经体验过 ...

  3. 【asp.net】滑块验证码(分享一个从github上下载的源码)

    思路: 1. 准备好10张或20张不同规格的图片,按规格分类到不同文件夹,每个文件夹的图片从1开始顺序递增命名,为了随机选择图片.   2.前端提交规格比如200*300,根据规格选择原图,并初始化 ...

  4. 解决 C# 连接oracle 读出中文乱码的问题

    一开始,我使用odbc连接oracle,发现中文变成了??,这种已经成了??的乱码是不能通过 Text.Encoding的方式来转码的. 1.我到处查资料,发现有说设置客户端 系统变量 把 远程服务器 ...

  5. HTML——文本域

    在 HTML 中,使用 <textarea> 标签来表示多行文本框,又叫做文本域.与其它 <input> 标签不同,<textarea> 标签是单闭合标签,它包含起 ...

  6. 授权调用: 介绍 Transformers 智能体 2.0

    简要概述 我们推出了 Transformers 智能体 2.0! ⇒ 在现有智能体类型的基础上,我们新增了两种能够 根据历史观察解决复杂任务的智能体. ⇒ 我们致力于让代码 清晰.模块化,并确保最终提 ...

  7. 7款优秀的AI搜索引擎工具推荐

    AI搜索引擎不仅能够理解复杂的查询语句,还能够通过学习用户的搜索习惯和偏好,提供更加个性化的搜索结果.本篇文章将介绍7款在这一领域表现出色的AI搜索引擎工具,它们各有特色,但都致力于为用户提供更加智能 ...

  8. 记一次 .NET某质量检测中心系统 崩溃分析

    一:背景 1. 讲故事 这些天有点意思,遇到的几个程序故障都是和Windows操作系统或者第三方组件有关系,真的有点无语,今天就带给大家一例 IIS 相关的与大家分享,这是一家国企的.NET程序,出现 ...

  9. umask永久修改用户创建文件权限

    Linux里永久设置用户创建文件权限的配置文件是/etc/profile.可以在该文件中添加umask命令来设置默认权限.具体操作步骤如下: 打开/etc/profile文件:sudo vi /etc ...

  10. MDK5常见问题

    (1)MDK5下载时未找到对应的芯片 解决方式:需要下载pack包. 官方链接:https://www.keil.com/dd2/pack/ 其它链接:https://blog.csdn.net/ni ...