玄机-第一章 应急响应- Linux入侵排查
前言
作者这一次也是差一点一次过,因为没有经验的原因,或者说题目对问题描述不太对,如果说是求黑客反连的ip的话我或许就知道要执行一下留下来的那个 .elf 可疑文件。
简介
账号:root 密码:linuxruqin
ssh root@IP
1.web目录存在木马,请找到木马的密码提交
2.服务器疑似存在不死马,请找到不死马的密码提交
3.不死马是通过哪个文件生成的,请提交文件名
4.黑客留下了木马文件,请找出黑客的服务器ip提交
5.黑客留下了木马文件,请找出黑客服务器开启的监端口提交
应急开始
准备工作
- 题目说明了web目录下存在木马,为了节省时间,连上服务器后直接cd /var/www/html (不是这个的话再另外找目录,一般是这个目录。)
- 进入目录后直接导出来,准备webshell查杀工具
我这里用D盾和河马扫一遍
这里使用河马发现他每次误报都好多,看来不更新后已经快跟不上了。
同时找到了几个webshell文件分别是:
- 1.php
- .shell.php
- index.php
- 注意:'shell(1).elf' 这个是反连黑客服务器的程序文件。
这个文件是elf可执行文件,名字已经很明显了,但是我经验比较少且比较犟,就一直看log日志去了,没有想到这个是反连的程序文件,但是我主要还是题目问题描述有问题吧,要是改成反连过去的黑客ip我肯定优先执行该文件。
步骤 1
1.web目录存在木马,请找到木马的密码提交
- webshell查杀工具扫描出来后,直接看最明显的一句话木马就是1.php
- flag为:
flag{1}
步骤 2
2.服务器疑似存在不死马,请找到不死马的密码提交
- 不死马(杀不死的马)
其实就是通过一个脚本不停的去检测另外一个木马是否存在,不存在的话就创建出来,然后该检测脚本一般来说会定期执行去检测另外的;不死webshell木马是否存在。
题目使用除了1.php后,可以发现是index.php不停的去检测和创建不死马,创建.shell.php这个不死webshell木马,创建.符号开头也很明确了,就是为了创建隐藏webshell连接木马。 - 不死马连接密码
5d41402abc4b2a76b9719d911017c592 == md5(hello)
- flag为:
flag{hello}
步骤 3
3.不死马是通过哪个文件生成的,请提交文件名
- 在步骤2中,我们已经分析出来index.php是创建不死马的,所以flag就直接出来了。
- flag为:
flag{index.php}
步骤 4
4.黑客留下了木马文件,请找出黑客的服务器ip提交
- 这里确实是一个坑,题目要是改成:请找出反连黑客的服务器ip,我必定先去运行一下 /var/www/html 目录下的 'shell(1).elf' 文件,因为很明显了。
直接执行的话执行不了,因为没有x执行权限,加权限即可:root@ip-10-0-10-1:/var/www/html# chmod +x shell\(1\).elf root@ip-10-0-10-1:/var/www/html# ./shell\(1\).elf & - netstat -alntup #查看一下连接情况(看连接程序文件名字为.shell(1).elf的即可)
- flag为:
flag{10.11.55.21}
步骤5
5.黑客留下了木马文件,请找出黑客服务器开启的监端口提交
- 步骤4了解后,那么端口号也知道了
- flag为:
flag{3333}
总结
成果:
flag{1}
flag{hello}
flag{index.php}
flag{10.11.55.21}
flag{3333}
其实将样本备份出来后,分析完成后,应该要删除掉服务器上面所有webshell文件和后门,并且进行一轮入侵排查。
做完这题的感受就是,在做应急之前的准备工作很重要,虽然这次依旧是10金币的时间做完,但是已经相比之前快了很多,能够逐渐熟悉整个应急流程了。其实很学到了不死马这个词语,说实话作者真的是菜鸟一个,好多术语名词都没有真正去了解和熟悉认识,通过做题来弥补也挺好。
(注:本题目在第一章中属于中等难度,相比另外两个题目难度大的,所以我是按照难度来做的先后顺序,所以我才觉得熟练了)
本文来自博客园,作者:竹等寒,转载请注明原文链接。