[应急响应]应急响应靶机训练-Linux1
题目
前景需要:小王急匆匆地找到小张,小王说”李哥,我dev服务器被黑了”,快救救我!!
挑战内容:
黑客的IP地址
遗留下的三个flag
环境
解压后直接用Vmware打开
账户安全
检查/etc/passwd和etc/shadow文件
1 | cat /etc/passwd | grep -v nologin #查看可以登录的用户 |
正常,只存在root和一个普通用户 defend
历史命令排查
1 | history #查看root历史命令 |
在root历史命令中看到了可疑操作,flag{thisismybaby},还有对/etc/rc.d/rc.local开机启动文件编辑的可疑行为。
查看该文件的内容
1 | cat /etc/rc.d/rc.local |
发现flag{kfcvme50},还有可以命令touch /var/lock/subsys/local,创建了一个local文件,用cat /var/lock/subsys/local查看其内容
里面好像没有东西
端口、进程排查
1 | netstat -antlp | more # 显示网络状态 |
1 | ps -aux # 查看进程 |
1 | top -c -o %CPU # 实时查看高CPU进程 |
开机启动项排查
这里之前排查过
1 | ls -alsh /etc/rc.local |
定时任务排查
1 | crontab -l #列出当前用户的crontab文件中的所有计划任务。crontab是用于设置周期性被执行的任务的工具。 |
异常文件排查
1 | 如temp目录下的隐藏文件 |
/tmp目录没有敏感文件
查看root的.ssh
发现其在2024-03-18 20:22:39被改动
日志排查
安全日志存放路径: /var/log/secure,是ssh登录成功与否的一个安全日志
1 | cat secure | grep "Accepted" | awk '{print $11}' | sort | uniq -c | sort -nr #统计IP爆破次数 |
可疑IP 192.168.75.129对root用户进行了登陆,其中91次失败,1次成功,针对91次登陆失败的时间再进行排查
从Mar 18 19:29:43至Mar 18 19:29:51,8秒内失败91次,判定为ssh爆破行为
查看登录成功的时间
在Mar 18 20:23:07登录成功了,但是我们查询密码登录成功的日志却没有记录
使用last命令来查看
在last命令下也可以看到该IP的最后一次登录时间,该IP使用虚拟终端进行了远程登录,持续时间为2分钟。
命令替换检查
1 | echo $PATH #用于打印当前shell环境变量 PATH 的值。 |
/etc/rc.d/rc.local前面已经排查过了,这里又出现了/etc/redis.conf文件,这个文件是redis的配置文件,这个redis.conf应该是被人动了手脚,查看这个文件
看到了flag{P@ssW0rd_redis}
查看是否存在redis未授权
redis 未授权访问的条件全部满足。
查看一下该文件最新的改动时间。
1 | start /etc/redis.conf |
时间在2024-03-18 19:53:13,而在日志排查中,恶意IP远程登录的时间在20:23:07,继续向下查。
查找redis的日志文件的相关位置。
查看日志文件内容并筛选恶意IP:192.168.75.129
该恶意IP从三月18日19:27:57到20:21:58一直对redis 服务发起访问,我们知道,一个redis 未授权访问的危害是相当巨大的,可以直接植入病毒木马等文件。
溯源追踪
我们通过对linux登录日志分析,黑客从三月18日19:29:43开始进行了ssh爆破行为,持续到19:29:51
通过redis 日志分析,黑客从三月18日19:27:57通过redis 未授权访问持续到20:21:58
在异常文件中发现,root账户下的authorized_keys公钥是3月18日20:22:39的时间被改动
在20:23:07,黑客通过ssh私钥通过远程虚拟终端登陆,持续时间两分钟
最后,黑客通过对开机启动文件/etc/rc.d/rc.local做了后门维持