应急响应练习1

目录

1. 提交攻击者的IP地址

2. 识别攻击者使用的操作系统

3. 找出攻击者资产收集所使用的平台

4. 提交攻击者目录扫描所使用的工具名称

5. 提交攻击者首次攻击成功的时间,格式:DD /MM/YY:HH:MM:SS

6. 找到攻击者写入的恶意后门文件,提交文件名(完整路径)和后门密码

7. 找到攻击者隐藏在正常web应用代码中的恶意代码,提交该文件名(完整路径)

8. 识别系统中存在的恶意程序进程,提交进程名

9. 找到文件系统中的恶意程序文件并提交文件名(完整路径)

10. 请分析攻击者的入侵行为与过程


环境:Linux webserver 5.4.0-109-generic

1. 提交攻击者的IP地址

linux应急响应需要知道的,黑客要想进服务器或者说是内网,那一定先是从web端外网下手

所以这里我先查看web日志查看黑客进行了什么操作

网站日志一般在/var/log/apache2/access.log

这里有access.log和access.log1一个一个看

access.log没有数据access.log1有数据

数据很杂这样可读性太低了,  筛选出所需的来看

这里筛选出GET传参的数据

cat /var/log/apache2/access.log.1 | grep 'GET'

这里能看到黑客对网站的目录扫描

黑客ip:  192.168.1.7

2. 识别攻击者使用的操作系统

这里继续分析web日志

单独筛选出黑客ip

cat /var/log/apache2/access.log.1 | grep '192.168.1.7'

黑客使用的操作系统:  Linux x86_64

3. 找出攻击者资产收集所使用的平台

这里要靠经验,  要是没有进行过web渗透可能不知道什么是资产收集

一般资产收集平台(shodan   fofa)

这里还把目录扫描过滤掉了,  因为太多了会把黑恶的正常攻击挤上去

cat /var/log/apache2/access.log.1 | grep '192.168.1.7' | grep 'Mozilla/5.0'

因为目录扫描使用的是大量的head请求,  所以没有user-agent,  我们只要过滤出有user-agent的数据就行

资产收集平台:  shodan

4. 提交攻击者目录扫描所使用的工具名称

从目录攻击的流量来看,在常用的目录扫描工具中

使用的应该是用的:御剑或者dirsearch

  1. 响应消息短,大量head请求方法以及host消息头
  2. 如果是dirbuster会有user-agent特征
  3. Dirb   user-agent会显示ie6.0

其大概就是,  只有御剑和dirsearch没有user-agent特征

5. 提交攻击者首次攻击成功的时间,格式:DD /MM/YY:HH:MM:SS

这里继续分析黑客的行为

知道分析到这里,  看到黑客上传了一个1.php文件并且通过2022来执行了命令

首次攻击成功时间:  [24/Apr/2022:15:25:53 +0000]

6. 找到攻击者写入的恶意后门文件,提交文件名(完整路径)和后门密码

在黑客首次攻击时间时能看到上传了一个1.php文件,  全局搜索这个文件

文件路径:  /var/www/html/data/avatar/1.php

后门密码:  2022

7. 找到攻击者隐藏在正常web应用代码中的恶意代码,提交该文件名(完整路径)

这里就需要全局搜索后门文件常用的代码(eval)

cat `find / -name '*.php' -type f` | grep eval

``是命令执行符号,  这样用是想找到所有php文件-type f是找所有普通文件,  然后用cat命令读取找到的文件,  然后筛选出所有有eval的文件

这里找到一个疑似后门的代码,  之后通过内容找文件

find / -name '*.php' -type f | xargs grep catchmeifyoucan

文件名:  /var/www/html/footer.php

8. 识别系统中存在的恶意程序进程,提交进程名

ps -aux

找恶意程序重点找执行文件,  还有就是进程是一堆命令那种最有可能是恶意程序

看到这个文件时发现他通过./来执行了prism,  看起来很可疑,  继续排查

查看定时任务发现这里设置了定时启动,  这就更可疑了,  基本可疑确定这个就是恶意进程

进程名:  ./prism

9. 找到文件系统中的恶意程序文件并提交文件名(完整路径)

lsof -p pid

路径:  /root/.mal/prism

10. 请分析攻击者的入侵行为与过程

  1. 通过shodan收集资产
  2. 扫描网站存在页面
  3. 通过文件上传漏洞上传木马获取shell
  4. 通过提权获取root权限
  5. 上传恶意程序保持权限

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/191672.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

身份证照片怎么弄成200k以内?超级好用!

一些网站为了限制大的文件上传,提出了一些大小限制的要求,那么身份证如何弄成200k呢?下面介绍三种方法。 方法一: 使用嗨格式压缩大师 1、在电脑上打开安装好的软件,在首界面中点击“图片压缩”。 2、进入后上传需要…

[工业自动化-11]:西门子S7-15xxx编程 - PLC从站 - 分布式IO从站/从机

目录 一、什么是以分布式IO从站/从机 二、分布式IO从站的意义 三、ET200分布式从站系列 一、什么是以分布式IO从站/从机 在工业自动化领域中,分布式 IO 系统是目前应用最为广泛的一种 I/O 系统,其中分布式 IO 从站是一个重要的组成部分。 分布式 IO …

jupyter lab配置列表清单

❤️觉得内容不错的话,欢迎点赞收藏加关注😊😊😊,后续会继续输入更多优质内容❤️ 👉有问题欢迎大家加关注私戳或者评论(包括但不限于NLP算法相关,linux学习相关,读研读博…

第十九章总结:Java绘图

19.1:Java绘图类 19.2:绘制图形 package nineteentn; import java.awt.*; import javax.swing.*;public class DrawCircle extends JFrame {private final int OVAL_WIDTH 80; // 圆形的宽private final int OVAL_HEIGHT 80; // 圆形的高public DrawC…

Mathtype公式自动转Word自带公式

Mathtype公式自动转Word自带公式 前言/word技巧探索过程参考资料(有效与无效)全自动方案/代码/教程 前言/word技巧 word公式 用ALT号可以输入简单latex显示公式;复杂度,需要引入latex包的不行;显示不出来的话按一下en…

kubernetes--pod详解

目录 一、pod简介: 1. Pod基础概念: 2. Kubrenetes集群中Pod的两种使用方式: 3. pod资源中包含的容器: 4. pause容器的两个核心功能: 5. Kubernetes中使用pause容器概念的用意: 二、pod的分类&#xff1…

微软允许OEM对Win10不提供关闭Secure Boot

用户可能将无法在Windows 10电脑上安装其它操作系统了,微软不再要求OEM在UEFI 中提供的“关闭 Secure Boot”的选项。 微软最早是在Designed for Windows 8认证时要求OEM的产品必须支持UEFI Secure Boot。Secure Boot 被设计用来防止恶意程序悄悄潜入到引导进程。问…

11月14日星期二今日早报简报微语报早读

11月14日星期二,农历十月初二,早报微语早读。 1、江西南城县:限时发放购房补贴政策,三孩家庭每平方米最高补贴500元; 2、2023年中国内地电影市场累计票房突破500亿元; 3、市场监管总局:在全国…

【设计模式】策略模式

引例 方案一 说明: 不满足OCP,添加新的排序算法或修改某个已有排序算法需要重新编译整个类可复用性差,Sorting类不可被直接复用 方案二 将客户类和算法类分开 说明:Sorting类可复用,但Sorting类仍不满足OCP 方案三…

低代码平台是什么?具备哪些特性?

目录 一、低代码开发概念 二、低代码开发和零代码开发的区别 三、低代码和零代码的开发优势 四、低代码开发平台介绍 JNPF开发平台 1)产品功能点 2)产品功能模块 五、小结 低代码开发平台近两年发展迅猛,并迅速渗透到各个细分领域。本文简要介…

用placement label代替keep margin解决绕线问题

我正在「拾陆楼」和朋友们讨论有趣的话题,你⼀起来吧? 拾陆楼知识星球入口 通常我们用keepout margin去降低多pin cell类型的密度,这里提供一种替代方案,即使用placement label。好处是只限制多pin cell彼此间距,不会…

node插件MongoDB(四)—— 库mongoose 的个性话读取(字段筛选、数据排序、数据截取)(四)

文章目录 一、字段筛选二、数据排序三、数据截取1. skip 跳过2. limit 限定![在这里插入图片描述](https://img-blog.csdnimg.cn/c7067b1984ee4c6686f8bbe07cae9176.png) 一、字段筛选 字段筛选:只读取指定的数据,比如集合(表)中有…

基于IGT-DSER智能网关实现GE的PAC/PLC与罗克韦尔(AB)的PLC之间通讯

工业自动化领域的IGT-DSER智能网关模块支持GE、西门子、三菱、欧姆龙、AB等各种品牌的PLC之间通讯(相关资料下载),同时也支持PLC与Modbus协议的工业机器人、智能仪表等设备通讯。网关有多个网口、串口,也可选择WIFI无线通讯。无需编程开发,只…

教对象写代码

之前对象工作中需要获取地图上的一些数据, 手工找寻复制 费时费力, 逢此契机, 准备使用代码尽可能简化机械重复操作, 力图一劳永逸. 首选简洁易入门的Python. 下文就是对流程的总结, 及简述每步的意义. 并不Hack,重在感受编程的用途和基本工具的使用. 以百度地图为例,需求如下:…

ARPG----C++学习记录05 Section12 动画蒙太奇,收拿剑,MetaSound,调整动画

代码更新 https://github.com/BAOfanTing/ARPG_Game_Code/commit/c629270e49496ba1bcbaf03780d23c1842ca5e7a Animation Montages动画蒙太奇 蒙太奇的工作流程 新建一个鼠标左键的按键映射,下载一些攻击动画,重定向给我们的人物,新建一个动画…

观察者模式-C++

观察者模式(Observer)是一种行为型设计模式,它用于在对象之间建立一对多的依赖关系,当一个对象发生改变时,所有依赖它的对象都会收到通知进行相应的改变。 观察者模式中有两种核心角色: 观察者&#xff0…

eNSP-打开华为USG6000V1防火墙web管理页面方法

一、本地打开防火墙web管理页面 1.先在ensp中启动USG6000V1防火墙,启动后,需要输入原始username和password(username:admin,password:Admin123),并修改原始密码后,才能配…

TiDB单机集群模拟生产环境

1、先部署环境,安装5.4.3版本,详细的安装步骤见官方文档:单机集群模拟生产环境安装教程 配置文件topo.yaml global:user: "tidb"ssh_port: 22deploy_dir: "/tidb-deploy"data_dir: "/tidb-data"monitored:no…

XML Web 服务 Eclipse实现中的sun-jaxws.xml文件

说明 在sun-jaxws.xml文件,可以配置endpoint、handler-chain等内容。在这个文件中配置的内容会覆盖在Java代码中使用注解属性配置的的内容。 这个文件根据自己的项目内容修改完成以后,作为web应用的一部分部署到web容器中(放到web应用的WEB…