玄机——第一章 应急响应-Linux入侵排查
目录
简介:
账号:root 密码:linuxruqin
ssh root@IP
1.web目录存在木马,请找到木马的密码提交
2.服务器疑似存在不死马,请找到不死马的密码提交
3.不死马是通过哪个文件生成的,请提交文件名
4.黑客留下了木马文件,请找出黑客的服务器ip提交
5.黑客留下了木马文件,请找出黑客服务器开启的监端口提交
1、web目录存在木马,请找到木马的密码提交
让我们在web目录中找木马,所以先将/var/www/html目录打包,然后放入D盾扫描。
输入:tar -czvf linuxruqin.tar.gz /var/www/html
D盾扫描出了4个可疑文件,我们逐个去看:
最后,在1.php中发现存在一句话木马:
post请求中的参数为1,因此木马的连接密码为1,flag{1}。
2、服务器疑似存在不死马,请找到不死马的密码提交
让我们找到不死马,仍旧分析D盾扫描出的几个文件,在index.php中可以发现不死马的踪迹
这段代码在/var/www/html 路径下生成了一个.shell.php的隐藏文件,并向该文件里插入了一个一句话木马,这里我们得到了木马密码的md5值,于是将它拿到cmd5里解密:
因此,flag{hello}。
3、不死马是通过哪个文件生成的,请提交文件名
生成不死马的文件就是上一步骤分析的index.php文件,直接提交文件名即可:flag{index.php}。
4、黑客留下了木马文件,请找出黑客的服务器ip提交
这里让我们找出留下的木马文件,在Linux里一般木马文件的后缀为.elf,直接在html目录下查找即可,发现了一个elf文件:
让我们找出黑客的IP,运行一下木马:
输入:
chmod +x 'shell(1).elf'
./'shell(1).elf'
然后我们另起一个终端,查看它的网络行为
输入: netstat -anpot
得到IP:10.11.55.21,flag{10.11.55.21}。
5、黑客留下了木马文件,请找出黑客服务器开启的监端口提交
让我们找出黑客的监听端口,在上图中可以看到端口为3333,flag{3333}。