Linunx应急响应

news2024/11/29 2:46:53

Linux应急流程

1,请提交攻击者的 IP 地址
2,请提交攻击者使⽤的操作系统
3,请提交攻击者进⼊⽹站后台的密码
4,请提交攻击者⾸次攻击成功的时间，格式：DD/MM/YY:hh:mm:ss
5,请提交攻击者上传的恶意⽂件名（含路径）
6,请提交攻击者写⼊的恶意后⻔⽂件的连接密码
7,请提交攻击者创建的⽤户账户名称
8,请提交恶意进程的名称
9,请提交恶意进程对外连接的 IP 地址

序号	任务内容
1	请提交攻击者的 IP 地址
2	请提交攻击者使⽤的操作系统
3	请提交攻击者进⼊⽹站后台的密码
4	请提交攻击者⾸次攻击成功的时间，格式：DD/MM/YY:hh:mm:ss
5	请提交攻击者上传的恶意⽂件名（含路径）
6	请提交攻击者写⼊的恶意后⻔⽂件的连接密码
7	请提交攻击者创建的⽤户账户名称
8	请提交恶意进程的名称
9	请提交恶意进程对外连接的 IP 地址

1,请提交攻击者的 IP 地址

首先查.hash_history文件，

在这里插入图片描述

发现中间件是tomcat，那就查tomcat的日志文件,使用find文件找到tomcat位置

![[Pasted image 20240512172959.png]]

![[Pasted image 20240512173305.png]]

仔细观察Juneha.jpeg从图片变成了jsp文件，且状态码为200，说明上传成功

恶意IP地址：192.168.31.132

![[Pasted image 20240512181137.png]]

2,请提交攻击者使⽤的操作系统

Windows NT 10.0

3,请提交攻击者进⼊⽹站后台的密码

查看.bash_history文件

![[Pasted image 20240512174053.png]]

4,请提交攻击者⾸次攻击成功的时间，格式：DD/MM/YY:hh:mm:ss

首次攻击成功，是上传成功POST文件的时间，使用stat，得出文件详细信息

![[Pasted image 20240512174655.png]]

![[Pasted image 20240512174822.png]]

5,请提交攻击者上传的恶意⽂件名（含路径）

上传恶意文件，肯定上传到/opt/tomcat，这个目录下。
grep -rl "exec(" /opt/tomcat/     是在/opt/tomcat这个目录下，递归查询文件中存在"exec("
字样的文件，只输出文件名

![[Pasted image 20240512175533.png]]

/opt/tomcat/webapps/ROOT/teacher/cmd.jsp

6,请提交攻击者写⼊的恶意后⻔⽂件的连接密码

cat /opt/tomcat/webapps/ROOT/teacher/cmd.jsp

![[Pasted image 20240512175824.png]]

7,请提交攻击者创建的⽤户账户名称

在.bash_history文件中搜索passwd
passwd user 是创建user用户

![[Pasted image 20240512180038.png]]

8,请提交恶意进程的名称

在Juneha用户目录下发现隐藏文件.t0mcat

![[Pasted image 20240512180208.png]]

9,请提交恶意进程对外连接的 IP 地址

strings .t0mcat | grep [0-9]

![[Pasted image 20240512180347.png]]

netstat -anp | grep .t0mcat

**![[Pasted image 20240512180828.png]]**

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.coloradmin.cn/o/1668239.html

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈，一经查实，立即删除！