应急响应练习1

news2024/11/16 18:39:22

目录

1. 提交攻击者的IP地址

2. 识别攻击者使用的操作系统

3. 找出攻击者资产收集所使用的平台

4. 提交攻击者目录扫描所使用的工具名称

5. 提交攻击者首次攻击成功的时间,格式:DD /MM/YY:HH:MM:SS

6. 找到攻击者写入的恶意后门文件,提交文件名(完整路径)和后门密码

7. 找到攻击者隐藏在正常web应用代码中的恶意代码,提交该文件名(完整路径)

8. 识别系统中存在的恶意程序进程,提交进程名

9. 找到文件系统中的恶意程序文件并提交文件名(完整路径)

10. 请分析攻击者的入侵行为与过程


环境:Linux webserver 5.4.0-109-generic

1. 提交攻击者的IP地址

linux应急响应需要知道的,黑客要想进服务器或者说是内网,那一定先是从web端外网下手

所以这里我先查看web日志查看黑客进行了什么操作

网站日志一般在/var/log/apache2/access.log

这里有access.log和access.log1一个一个看

access.log没有数据access.log1有数据

数据很杂这样可读性太低了,  筛选出所需的来看

这里筛选出GET传参的数据

cat /var/log/apache2/access.log.1 | grep 'GET'

这里能看到黑客对网站的目录扫描

黑客ip:  192.168.1.7

2. 识别攻击者使用的操作系统

这里继续分析web日志

单独筛选出黑客ip

cat /var/log/apache2/access.log.1 | grep '192.168.1.7'

黑客使用的操作系统:  Linux x86_64

3. 找出攻击者资产收集所使用的平台

这里要靠经验,  要是没有进行过web渗透可能不知道什么是资产收集

一般资产收集平台(shodan   fofa)

这里还把目录扫描过滤掉了,  因为太多了会把黑恶的正常攻击挤上去

cat /var/log/apache2/access.log.1 | grep '192.168.1.7' | grep 'Mozilla/5.0'

因为目录扫描使用的是大量的head请求,  所以没有user-agent,  我们只要过滤出有user-agent的数据就行

资产收集平台:  shodan

4. 提交攻击者目录扫描所使用的工具名称

从目录攻击的流量来看,在常用的目录扫描工具中

使用的应该是用的:御剑或者dirsearch

  1. 响应消息短,大量head请求方法以及host消息头
  2. 如果是dirbuster会有user-agent特征
  3. Dirb   user-agent会显示ie6.0

其大概就是,  只有御剑和dirsearch没有user-agent特征

5. 提交攻击者首次攻击成功的时间,格式:DD /MM/YY:HH:MM:SS

这里继续分析黑客的行为

知道分析到这里,  看到黑客上传了一个1.php文件并且通过2022来执行了命令

首次攻击成功时间:  [24/Apr/2022:15:25:53 +0000]

6. 找到攻击者写入的恶意后门文件,提交文件名(完整路径)和后门密码

在黑客首次攻击时间时能看到上传了一个1.php文件,  全局搜索这个文件

文件路径:  /var/www/html/data/avatar/1.php

后门密码:  2022

7. 找到攻击者隐藏在正常web应用代码中的恶意代码,提交该文件名(完整路径)

这里就需要全局搜索后门文件常用的代码(eval)

cat `find / -name '*.php' -type f` | grep eval

``是命令执行符号,  这样用是想找到所有php文件-type f是找所有普通文件,  然后用cat命令读取找到的文件,  然后筛选出所有有eval的文件

这里找到一个疑似后门的代码,  之后通过内容找文件

find / -name '*.php' -type f | xargs grep catchmeifyoucan

文件名:  /var/www/html/footer.php

8. 识别系统中存在的恶意程序进程,提交进程名

ps -aux

找恶意程序重点找执行文件,  还有就是进程是一堆命令那种最有可能是恶意程序

看到这个文件时发现他通过./来执行了prism,  看起来很可疑,  继续排查

查看定时任务发现这里设置了定时启动,  这就更可疑了,  基本可疑确定这个就是恶意进程

进程名:  ./prism

9. 找到文件系统中的恶意程序文件并提交文件名(完整路径)

lsof -p pid

路径:  /root/.mal/prism

10. 请分析攻击者的入侵行为与过程

  1. 通过shodan收集资产
  2. 扫描网站存在页面
  3. 通过文件上传漏洞上传木马获取shell
  4. 通过提权获取root权限
  5. 上传恶意程序保持权限

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1201988.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

ROS机器人毕业论文数量井喷-数据日期23年11月13日

背景 ROS机器人论文数量在近3年井喷发展,仅硕士论文知网数据库可查阅就已经达到2264篇,实际相关从业者远远远大于这个数值。 按日期排序,每页20篇,23年还未结束,检索本身也不一定完备,就超过200。 相关从业…

乔新亮:打造世界级领导力,管理从示弱开始

导语 | 技术管理在企业发展中发挥着重要的作用,有效的技术管理能够帮助团队聚焦目标,提升团队协作效率,保障项目快速且高质量完成,实现业务价值。那么在当前数字化时代,技术管理者如何提升自身领导力,助力企…

Linux Centos 根目录扩展分区(保级教程)

Centos 根目录扩展分区 1、扩展背景2.列出磁盘信息3. 对磁盘进行分区4. 重启Linux5. 将PV加入卷组centos并分区6.查看分区结果 1、扩展背景 虚拟机初始分配20G内存,扩容到80G。 2.列出磁盘信息 可以得知容量信息以及即将创建的PV路径(通常为“/dev/s…

MySQL查询原理与优化

文章目录 前言执行查询的过程逻辑连接器查询缓存解析器优化器执行器 衡量查询开销的三个指标响应时间扫描行数返回的行数 重构查询的几种选择一个复杂的查询还是多个简单的查询切分查询关联查询解决关联查询的原则 总结 前言 上一篇文章中(MySQL索引全解&#xff1…

如何使用python实现邮件全家桶式功能

今天带大家实现一下,不登录邮箱界面 通过python代码实现发送邮件、添加附件、接收邮件的功能。 如下:使用网易126邮箱进行演示。 还可以添加小姐姐的可可爱爱的照片作为附件 ​ 先上效果 一、邮箱端设置 首先,要对邮件进行一下设置&…

【LeetCode:307. 区域和检索 - 数组可修改 | 树状数组 or 线段树】

🚀 算法题 🚀 🌲 算法刷题专栏 | 面试必备算法 | 面试高频算法 🍀 🌲 越难的东西,越要努力坚持,因为它具有很高的价值,算法就是这样✨ 🌲 作者简介:硕风和炜,…

设计必备:2023年最值得关注的8个素材网站!

如果你想学好平面设计,模仿和积累材料很重要,今天我们将与您分享一些常见的设计网站和材料下载网站。 1、即时设计 即时设计是专业的 UI 设计在线工具,内置丰富的设计素材,它可以被看作是一个设计素材网站。即时设计拥有来自于 …

SAP ABAP列表格式及表格输出

REPORT YTEST001. DATA wa LIKE spfli. WRITE: /. WRITE: 10航班承运人,40航班连接,60国家代码,80起飞城市,100起飞机场. SELECT * INTO wa FROM spfli.WRITE: / wa-carrid UNDER 航班承运人,wa-connid UNDER 航班连接,wa-countryfr UNDER 国家代码,wa-cityfrom UNDER 起飞城市…

“颠覆·挑战·极致”华瑞指数云ExponTech WDS新一代产品重新定义企业存储和数据架构

数字经济发展,离不开数据这一信息时代的“新能源”。当数据爆发式增长,企业何处寻得一款在性能和成本上皆具备良好表现的“储能仓”?国内数据存储领域领先厂商华瑞指数云ExponTech自主研发的高性能、高可靠的分布式存储产品ExponTech WDS成为…

Spring中Bean实例化方式和Bean生命周期

Spring Bean的实例化方式通过构造方法实例化通过简单工厂模式实例化通过工厂方法模式实例化通过FactoryBean接口实例化 注入自定义DateBean的生命周期Bean的循环依赖问题 Bean的实例化方式 Spring为Bean提供了多种实例化方式,通常包括4种方式。(也就是说…

阿里全系产品崩上了热搜,我是有些失望的

双十一刚刚过,没想到阿里巴巴全系产品却又崩上热搜了。看来阿里的不少程序员同学今天又是在加班中度过了,心疼,希望你们把班加了就可以了,锅就别背了。 据了解,截至目前,本次修复进展如下: 17:…

SCADA系统在化工行业应用解决方案和注意事项

SCADA系统在化工行业的数字化工厂中具有广泛的应用解决方案。SCADA系统通过实时监控和远程控制,帮助化工企业实现生产过程的自动化和数字化管理。以下是化工行业的SCADA系统行业应用中可以解决的客户痛点以及相关的详细设计说明: 远程监测和控制&#xf…

GPON、XG(S)-PON基础

前言 本文主要介绍了GPON、XG(S)-PON中数据复用技术、协议、关键技术、组网保护等内容,希望对你有帮助。 一:GPON数据复用技术 下行波长:1490nm,上行波长:1310nm 1:单线双向传输(WDM技术&am…

JS+ES6新增字符串方法大汇总,爆肝,共四十七种方法(求个赞,哈哈)

让我为大家介绍一下字符串的操作方法吧,你知道与不知道的大部分都在这! 分类可能有点不太对,还请大家见谅! 增 1.concat() 拼接字符串 可以连接两个或多个字符串 let str "hello"let str1 " str"console…

项目管理工具:提高团队协作效率,确保项目按时完成

项目管理对于企业的成功至关重要,一个好的项目管理工具可以提高团队协作效率,确保项目按时完成,并保持项目进度的高效跟踪。 近年来,一款名为“进度猫”的项目管理工具逐渐崭露头角,它以其独特的功能和优势&#xff…

算法细节类错误

1.使用全局变量时,若有多组测试数据 应该注意在循坏中重新初始化全局变量 例如:

【第2章 Node.js基础】2.4 Node.js 全局对象(一)

什么是Node.js 全局对象 对于浏览器引擎来说,JavaScript 脚本中的 window 是全局对象,而Node.js程序中的全局对象是 global,所有全局变量(除global本身外)都是global 对象的属性。全局变量和全局对象是所有模块都可以调用的。Node.is 的全局…

记忆科技携手中国电信,一站式存储打造坚实数字底座

11月10日,以“数字科技 焕新启航”为主题的2023数字科技生态大会在广州盛大开幕,本次大会由中国电信、广东省人民政府联合举办,是一场数字科技领域的年度盛会。忆联母公司记忆科技作为中国电信的合作伙伴之一受邀参会,深度参与了大…

常用的一些LDO芯片及使用稳定的LDO芯片推荐

LDO也是电赛中常用的电源模块。相比DCDC以及稳压器,LDO的跌落电压更小,因此两者适用场合不同。下面介绍一些常用的LDO及其使用: 1. TPS7A4501(正降压) 数据手册:https://www.ti.com.cn/cn/lit/ds/symlink…

【JUC】一、synchronized关键字与Lock接口

文章目录 1、JUC2、进程与线程3、并发与并行4、用户线程和守护线程5、对象锁和类锁6、Synchronized关键字7、synchronized案例8、Lock接口 1、JUC JUC,即java.util.concurrent这个处理线程的工具包,始于JDK1.5,其中下有三个包,为…