玄機-第一章 應急響應- Linux入侵排查

竹等寒發表於2024-07-17

目錄
  • 前言
  • 簡介
  • 應急開始
    • 準備工作
    • 步驟 1
    • 步驟 2
    • 步驟 3
    • 步驟 4
    • 步驟5
  • 總結

前言

作者這一次也是差一點一次過,因為沒有經驗的原因,或者說題目對問題描述不太對,如果說是求駭客反連的ip的話我或許就知道要執行一下留下來的那個 .elf 可疑檔案。

簡介

賬號:root 密碼:linuxruqin
ssh root@IP
1.web目錄存在木馬,請找到木馬的密碼提交
2.伺服器疑似存在不死馬,請找到不死馬的密碼提交
3.不死馬是透過哪個檔案生成的,請提交檔名
4.駭客留下了木馬檔案,請找出駭客的伺服器ip提交
5.駭客留下了木馬檔案,請找出駭客伺服器開啟的監埠提交

應急開始

準備工作

  • 題目說明了web目錄下存在木馬,為了節省時間,連上伺服器後直接cd /var/www/html (不是這個的話再另外找目錄,一般是這個目錄。)
  • 進入目錄後直接匯出來,準備webshell查殺工具
    我這裡用D盾和河馬掃一遍
    在這裡插入圖片描述
    在這裡插入圖片描述

這裡使用河馬發現他每次誤報都好多,看來不更新後已經快跟不上了。

同時找到了幾個webshell檔案分別是:

  • 1.php
  • .shell.php
  • index.php
  • 注意:'shell(1).elf' 這個是反連駭客伺服器的程式檔案。
    這個檔案是elf可執行檔案,名字已經很明顯了,但是我經驗比較少且比較犟,就一直看log日誌去了,沒有想到這個是反連的程式檔案,但是我主要還是題目問題描述有問題吧,要是改成反連過去的駭客ip我肯定優先執行該檔案。

步驟 1

1.web目錄存在木馬,請找到木馬的密碼提交

  • webshell查殺工具掃描出來後,直接看最明顯的一句話木馬就是1.php
    在這裡插入圖片描述
  • flag為:
    flag{1}

步驟 2

2.伺服器疑似存在不死馬,請找到不死馬的密碼提交

  • 不死馬(殺不死的馬)
    其實就是透過一個指令碼不停的去檢測另外一個木馬是否存在,不存在的話就建立出來,然後該檢測指令碼一般來說會定期執行去檢測另外的;不死webshell木馬是否存在。
    題目使用除了1.php後,可以發現是index.php不停的去檢測和建立不死馬,建立.shell.php這個不死webshell木馬,建立.符號開頭也很明確了,就是為了建立隱藏webshell連線木馬。
  • 不死馬連線密碼
    在這裡插入圖片描述
    5d41402abc4b2a76b9719d911017c592 == md5(hello)
    在這裡插入圖片描述
  • flag為:
    flag{hello}

步驟 3

3.不死馬是透過哪個檔案生成的,請提交檔名

  • 在步驟2中,我們已經分析出來index.php是建立不死馬的,所以flag就直接出來了。
  • flag為:
    flag{index.php}

步驟 4

4.駭客留下了木馬檔案,請找出駭客的伺服器ip提交

  • 這裡確實是一個坑,題目要是改成:請找出反連駭客的伺服器ip,我必定先去執行一下 /var/www/html 目錄下的 'shell(1).elf' 檔案,因為很明顯了。
    直接執行的話執行不了,因為沒有x執行許可權,加許可權即可:
    root@ip-10-0-10-1:/var/www/html# chmod +x shell\(1\).elf
    root@ip-10-0-10-1:/var/www/html# ./shell\(1\).elf &
    
  • netstat -alntup #檢視一下連線情況(看連線程式檔名字為.shell(1).elf的即可)
    在這裡插入圖片描述
  • flag為:
    flag{10.11.55.21}

步驟5

5.駭客留下了木馬檔案,請找出駭客伺服器開啟的監埠提交

  • 步驟4瞭解後,那麼埠號也知道了
  • flag為:
    flag{3333}

總結


成果:
flag{1}
flag{hello}
flag{index.php}
flag{10.11.55.21}
flag{3333}


其實將樣本備份出來後,分析完成後,應該要刪除掉伺服器上面所有webshell檔案和後門,並且進行一輪入侵排查。
做完這題的感受就是,在做應急之前的準備工作很重要,雖然這次依舊是10金幣的時間做完,但是已經相比之前快了很多,能夠逐漸熟悉整個應急流程了。其實很學到了不死馬這個詞語,說實話作者真的是菜鳥一個,好多術語名詞都沒有真正去了解和熟悉認識,透過做題來彌補也挺好。
(注:本題目在第一章中屬於中等難度,相比另外兩個題目難度大的,所以我是按照難度來做的先後順序,所以我才覺得熟練了)

相關文章