ToB企服应用市场:ToB评测及商务社交产业平台

标题: 玄机-第一章 应急响应- Linux入侵排查 [打印本页]

---

作者: 道家人    时间: 2024-7-17 04:51
标题: 玄机-第一章 应急响应- Linux入侵排查
目录

• 前言
  
• 简介
  
• 应急开始
  
  
  
  • 准备工作
    
  • 步调 1
    
  • 步调 2
    
  • 步调 3
    
  • 步调 4
    
  • 步调5
    
  
  
• 总结
  

前言

作者这一次也是差一点一次过，由于没有履历的原因，或者说题目对问题描述不太对，假如说是求黑客反连的ip的话我或许就知道要实行一下留下来的那个 .elf 可疑文件。

简介

账号：root 密码：linuxruqin
ssh root@IP
1.web目录存在木马，请找到木马的密码提交
2.服务器疑似存在不死马，请找到不死马的密码提交
3.不死马是通过哪个文件生成的，请提交文件名
4.黑客留下了木马文件，请找出黑客的服务器ip提交
5.黑客留下了木马文件，请找出黑客服务器开启的监端口提交

应急开始

准备工作

• 题目阐明了web目录下存在木马，为了节省时间，连上服务器后直接cd /var/www/html (不是这个的话再别的找目录，一样平常是这个目录。)
  
• 进入目录后直接导出来，准备webshell查杀工具
  我这里用D盾和河马扫一遍
  
  
  
  
  
  
  

这里使用河马发现他每次误报都好多，看来不更新后已经快跟不上了。
同时找到了几个webshell文件分别是：

• 1.php
  
• .shell.php
  
• index.php
  
• 注意：'shell(1).elf' 这个是反连黑客服务器的程序文件。
  这个文件是elf可实行文件，名字已经很明显了，但是我履历比较少且比较犟，就一直看log日记去了，没有想到这个是反连的程序文件，但是我主要还是题目问题描述有问题吧，要是改成反连过去的黑客ip我肯定优先实行该文件。
  

步调 1

1.web目录存在木马，请找到木马的密码提交

• webshell查杀工具扫描出来后，直接看最明显的一句话木马就是1.php
  
  
  
  
• flag为：
  flag{1}
  

步调 2

2.服务器疑似存在不死马，请找到不死马的密码提交

• 不死马（杀不死的马）
  其实就是通过一个脚本不停的去检测别的一个木马是否存在，不存在的话就创建出来，然后该检测脚本一样平常来说会定期实行去检测别的的；不死webshell木马是否存在。
  题目使用除了1.php后，可以发现是index.php不停的去检测和创建不死马，创建.shell.php这个不死webshell木马，创建.符号开头也很明确了，就是为了创建隐蔽webshell连接木马。
  
• 不死马连接密码
  
  
  
  5d41402abc4b2a76b9719d911017c592 == md5(hello)
  
  
  
  
• flag为：
  flag{hello}
  

步调 3

3.不死马是通过哪个文件生成的，请提交文件名

• 在步调2中，我们已经分析出来index.php是创建不死马的，所以flag就直接出来了。
  
• flag为：
  flag{index.php}
  

步调 4

4.黑客留下了木马文件，请找出黑客的服务器ip提交

• 这里确实是一个坑，题目要是改成：请找出反连黑客的服务器ip，我必定先去运行一下 /var/www/html 目录下的 'shell(1).elf' 文件，由于很明显了。
  直接实行的话实行不了，由于没有x实行权限，加权限即可：
  1. root@ip-10-0-10-1:/var/www/html# chmod +x shell\(1\).elf
  2. root@ip-10-0-10-1:/var/www/html# ./shell\(1\).elf &

  复制代码
• netstat -alntup #检察一下连接环境（看连接程序文件名字为.shell(1).elf的即可）
  
  
  
  
• flag为：
  flag{10.11.55.21}
  

步调5

5.黑客留下了木马文件，请找出黑客服务器开启的监端口提交

• 步调4了解后，那么端口号也知道了
  
• flag为：
  flag{3333}
  

总结

成果：
flag{1}
flag{hello}
flag{index.php}
flag{10.11.55.21}
flag{3333}
其实将样本备份出来后，分析完成后，应该要删撤除服务器上面全部webshell文件和后门，并且进行一轮入侵排查。
做完这题的感受就是，在做应急之前的准备工作很紧张，固然这次依旧是10金币的时间做完，但是已经相比之前快了很多，可以或许逐渐熟悉整个应急流程了。其实很学到了不死马这个词语，说实话作者真的是菜鸟一个，好多术语名词都没有真正去了解和熟悉认识，通过做题来弥补也挺好。
（注：本题目在第一章中属于中等难度，相比别的两个题目难度大的，所以我是按照难度来做的先后次序，所以我才觉得熟练了）

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

---

欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)

Powered by Discuz! X3.4