应急响应练习1

目录

1. 提交攻击者的IP地址

2. 识别攻击者使用的操作系统

3. 找出攻击者资产收集所使用的平台

4. 提交攻击者目录扫描所使用的工具名称

5. 提交攻击者首次攻击成功的时间,格式:DD /MM/YY:HH:MM:SS

6. 找到攻击者写入的恶意后门文件,提交文件名(完整路径)和后门密码

7. 找到攻击者隐藏在正常web应用代码中的恶意代码,提交该文件名(完整路径)

8. 识别系统中存在的恶意程序进程,提交进程名

9. 找到文件系统中的恶意程序文件并提交文件名(完整路径)

10. 请分析攻击者的入侵行为与过程


环境:Linux webserver 5.4.0-109-generic

1. 提交攻击者的IP地址

linux应急响应需要知道的,黑客要想进服务器或者说是内网,那一定先是从web端外网下手

所以这里我先查看web日志查看黑客进行了什么操作

网站日志一般在/var/log/apache2/access.log

这里有access.log和access.log1一个一个看

access.log没有数据access.log1有数据

数据很杂这样可读性太低了,  筛选出所需的来看

应急响应练习1_第1张图片

这里筛选出GET传参的数据

cat /var/log/apache2/access.log.1 | grep 'GET'

这里能看到黑客对网站的目录扫描

应急响应练习1_第2张图片

黑客ip:  192.168.1.7

2. 识别攻击者使用的操作系统

这里继续分析web日志

单独筛选出黑客ip

cat /var/log/apache2/access.log.1 | grep '192.168.1.7'

应急响应练习1_第3张图片

黑客使用的操作系统:  Linux x86_64

3. 找出攻击者资产收集所使用的平台

这里要靠经验,  要是没有进行过web渗透可能不知道什么是资产收集

一般资产收集平台(shodan   fofa)

这里还把目录扫描过滤掉了,  因为太多了会把黑恶的正常攻击挤上去

cat /var/log/apache2/access.log.1 | grep '192.168.1.7' | grep 'Mozilla/5.0'

因为目录扫描使用的是大量的head请求,  所以没有user-agent,  我们只要过滤出有user-agent的数据就行

应急响应练习1_第4张图片

资产收集平台:  shodan

4. 提交攻击者目录扫描所使用的工具名称

从目录攻击的流量来看,在常用的目录扫描工具中

使用的应该是用的:御剑或者dirsearch

  1. 响应消息短,大量head请求方法以及host消息头
  2. 如果是dirbuster会有user-agent特征
  3. Dirb   user-agent会显示ie6.0

其大概就是,  只有御剑和dirsearch没有user-agent特征

5. 提交攻击者首次攻击成功的时间,格式:DD /MM/YY:HH:MM:SS

这里继续分析黑客的行为

知道分析到这里,  看到黑客上传了一个1.php文件并且通过2022来执行了命令

首次攻击成功时间:  [24/Apr/2022:15:25:53 +0000]

6. 找到攻击者写入的恶意后门文件,提交文件名(完整路径)和后门密码

在黑客首次攻击时间时能看到上传了一个1.php文件,  全局搜索这个文件

应急响应练习1_第5张图片

文件路径:  /var/www/html/data/avatar/1.php

后门密码:  2022

7. 找到攻击者隐藏在正常web应用代码中的恶意代码,提交该文件名(完整路径)

这里就需要全局搜索后门文件常用的代码(eval)

cat `find / -name '*.php' -type f` | grep eval

``是命令执行符号,  这样用是想找到所有php文件-type f是找所有普通文件,  然后用cat命令读取找到的文件,  然后筛选出所有有eval的文件

这里找到一个疑似后门的代码,  之后通过内容找文件

应急响应练习1_第6张图片

find / -name '*.php' -type f | xargs grep catchmeifyoucan

应急响应练习1_第7张图片

文件名:  /var/www/html/footer.php

8. 识别系统中存在的恶意程序进程,提交进程名

ps -aux

找恶意程序重点找执行文件,  还有就是进程是一堆命令那种最有可能是恶意程序

看到这个文件时发现他通过./来执行了prism,  看起来很可疑,  继续排查

应急响应练习1_第8张图片

查看定时任务发现这里设置了定时启动,  这就更可疑了,  基本可疑确定这个就是恶意进程

应急响应练习1_第9张图片

进程名:  ./prism

9. 找到文件系统中的恶意程序文件并提交文件名(完整路径)

lsof -p pid

应急响应练习1_第10张图片

路径:  /root/.mal/prism

10. 请分析攻击者的入侵行为与过程

  1. 通过shodan收集资产
  2. 扫描网站存在页面
  3. 通过文件上传漏洞上传木马获取shell
  4. 通过提权获取root权限
  5. 上传恶意程序保持权限

你可能感兴趣的:(应急响应,网络,服务器,安全,应急响应)