1.实验目标
-
掌握linux系统中信息收集的方法
-
掌握linux系统中持久化操作方法及排查方式
-
掌握linux系统入侵排查思路
2.实验步骤
-
1.统计攻击者爆破次数
-
2.排查攻击者第一次使用恶意用户登录的时间
-
3.检查sudoer文件
-
4.排查计划任务
-
5.排查计划任务
-
6.排查恶意服务
-
7.排查系统命令
1.统计攻击者爆破的次数(包括成功)
因为是ssh爆破,所以我们去看ssh的日志,看secure日志,secure日志记录了用户登录成功和失败的日志 1.进入日志目录/var/log/ 2.确定攻击者的ip地址 通过命令cat secure | grep "Failed" | cut -d " " -f 12 | sort | uniq -c //统计失败次数和字段12,字段12就是攻击者的ip地址,判断攻击者爆破的ip地址
10.11.38.202 2.统计攻击者爆破次数,包括成功的次数 命令:cat secure |grep "10.11.38.202"| grep "root"| grep "Failed|Accepted" -c
-
2.排查攻击者第一次使用恶意用户登录的时间
1.排查恶意用户 cat /etc/passwd发现有一个guest用户,并且有管理员权限,可以登录binbash
这个就是恶意用户了,通过secure来排查第一次登录系统的时间
-
3.检查sudoer文件
发现这个guest用户是有sudo,可以直接通过sudo来提权到root
-
4.排查计划任务 使用命令:crontab -l -u root
可以看出来这个任务计划是5个小时执行一次,然后执行的是一个脚本,shell.elf这个肯定是一个恶意脚本文件了,我们去看一下这个脚本的创建时间 这个时间和入侵的时间差不多
排查guest用户是否存在计划任务,也有一个计划任务,记录计划任务的创建修改时间
排查启动脚本,没有异常启动的脚本文件
使用chkconfig来排查异常启动,发现这个guest的恶意脚本在2345级的时候恶意启动,然后再init.d中的这个文件中也有centos_core.elf可执行文件,chkconfig是排查系统自启动服务命令
-
6.排查恶意服务 查看系统服务启动配置
发现恶意服务之后去看恶意服务的脚本内容,这个脚本执行了根目录下的恶意文件,我们可以知道系统再启动服务的时候就会运行这个shell.elf或者说计划任务也会执行这个脚本,很多执行这个脚本的启动项
-
7.排查系统命令 通过排查系统命令来判断系统中的命令是否被篡改,可以通过比较hash值,或者寻找同一时间内发生修改的文件 排查2021-02-05日发生变化的文件目录命令
检查命令的变更时间
可以发现命令的属性发生了变化
发现这个命令被修改了,这个命令会调用shell.elf,还存在关键字过滤
