玄机alog挖矿应急

这里我主要介绍一下思路,因为我在做的时候发现可能是环境的问题,有时候同一个命令的执行结果是不一样的,有时候有结果,有时候啥都没有。

1.首先要认识这里是靶场,所以此时的设备并没有与靶场建立连接,而是处于断开连接的状态,我们要做的就是上机排查相关日志、权限维持的相关手段等,还原攻击者的链路和人物画像。

2.crontab -l 查看计划任务,找到了可疑的执行文件

3.计算文件的md5值,然后放到微步上分析一下,确定是恶意文件,然后也可以分析出来相关的恶意ip

4.排查ssh公钥后门文件,里面有黑客用户名称。但是在passwd和影子文件里面是没有这个账户的,这里我不太明白。

你可能感兴趣的:(网络,web安全)