玄机-第一章 应急响应- Linux入侵排查

原创 已于 2024-07-18 23:30:38 修改 · 1k 阅读 · 26 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #网络安全 #服务器

于 2024-07-17 01:12:15 首次发布

文章目录

前言

作者这一次也是差一点一次过,因为没有经验的原因,或者说题目对问题描述不太对,如果说是求黑客反连的ip的话我或许就知道要执行一下留下来的那个 .elf 可疑文件。

简介

账号:root 密码:linuxruqin
ssh root@IP
1.web目录存在木马,请找到木马的密码提交
2.服务器疑似存在不死马,请找到不死马的密码提交
3.不死马是通过哪个文件生成的,请提交文件名
4.黑客留下了木马文件,请找出黑客的服务器ip提交
5.黑客留下了木马文件,请找出黑客服务器开启的监端口提交

应急开始

准备工作

  • 题目说明了web目录下存在木马,为了节省时间,连上服务器后直接cd /var/www/html (不是这个的话再另外找目录,一般是这个目录。)
  • 进入目录后直接导出来,准备webshell查杀工具
    我这里用D盾和河马扫一遍
    在这里插入图片描述
    在这里插入图片描述

这里使用河马发现他每次误报都好多,看来不更新后已经快跟不上了。

同时找到了几个webshell文件分别是:

  • 1.php
  • .shell.php
  • index.php
  • 注意:
最低0.47元/天 解锁文章
第一章 应急响应- Linux入侵排查
qq_63928796的博客
07-17 497
而且还是隐藏的,md5解密一下。但没有权限,给一下权限再运行。在第四题看见ip也看见端口了。连接靶机后下载网站目录。在web路径发现有个。
玄机靶场 第一章 应急响应- Linux入侵排查
qq_46343633的博客
06-04 1766
1.web目录存在木马,请找到木马的密码提交2.服务器疑似存在不死马,请找到不死马的密码提交3.不死马是通过哪个文件生成的,请提交文件名4.黑客留下了木马文件,请找出黑客的服务器ip提交5.黑客留下了木马文件,请找出黑客服务器开启的监端口提交。
玄机第一章 应急响应- Linux入侵排查
ywx05_的博客
02-27 2079
监听端口号(Listening Port)是网络通信中用于等待和接收传入连接请求的端口号。服务器或服务在特定端口上监听,以便与客户端建立连接。这种机制确保了网络应用程序能够接收和处理来自其他网络设备的请求。
玄机——第一章 应急响应- Linux入侵排查 wp
焦虑的焦虑
06-11 5610
第一章 应急响应- Linux入侵排查
玄机-第一章 应急响应- Linux入侵排查-wp-WriteUP-CTF
最新发布
weixin_42102555的博客
09-04 185
【代码】玄机-第一章 应急响应- Linux入侵排查-wp-WriteUP-CTF。
玄机靶场 - 第一章 应急响应- Linux入侵排查
fishfishfishman的博客
08-08 925
运行后门文件,然后再次查看网络连接,可以看到请求的黑客服务器地址和监听端口,如果是真实环境这一步应该在虚拟机或沙盒中进行,打靶场就暂时不讲究这么多了。文件,而elf文件是Linux系统的可执行文件,类似于Windows的exe,加上这个文件名可以判断这是个后门文件。其实这个文件不算不死马,不死马文件在下面这个flag的解题步骤里。,必须通过查看隐藏文件的指令才能发现,密码是加密的md5值。而在这个文件中,不死马对应的密码也是我们前面得到的md5值。是我们前面提到的隐藏后门文件,而这个后门文件实际是由。
玄机 第一章 应急响应-linux入侵排查
lin__ying的博客
07-28 780
ls -al #查看当前文件夹下的所有文件,发现shell(1).elf文件是黑客留下的文件。chmod 777 shell\(1\).elf #赋予文件可执行的权限。cd /var/www/html #切换到含有木马文件的文件夹下。#查找所有包含eval函数调用的.php文件,并列出这些文件的路径。黑客留下了木马文件,请找出黑客服务器开启的监端口提交。黑客留下了木马文件,请找出黑客的服务器ip提交。服务器疑似存在不死马,请找到不死马的密码提交。不死马是通过哪个文件生成的,请提交文件名。
玄机第一章 应急响应-Linux入侵排查
青青很OK的博客
07-21 874
题目:1.web目录存在木马,请找到木马的密码提交2.服务器疑似存在不死马,请找到不死马的密码提交3.不死马是通过哪个文件生成的,请提交文件名4.黑客留下了木马文件,请找出黑客的服务器ip提交5.黑客留下了木马文件,请找出黑客服务器开启的监端口提交。
Linux环境下黑客入侵排查步骤
liguangyao213的博客
10-30 1455
0x00 前言 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Linux服务器入侵排查的思路。 0x01 入侵排查思路 1.1 账号安全 基...
玄机第一章 应急响应-Linux入侵排查
找不到我哦~
10-15 659
静下心来,缕清思路
第一章-应急响应-Linux入侵排查-玄机靶场
星河梦瑾的博客
10-29 510
一个Linux入侵排查的简单靶场记录。
应急响应01-linux入侵排查
Biu_Biu_Bi的博客
04-23 861
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 Linux 服务器入侵排查的思路。
linux入侵排查
weixin_46476861的博客
04-08 4179
入侵排查思路 一、账号安全 linux要么就是弱口令通过root进来,要么就是创建了一个账号进来了 sudo命令以系统管理者的身份执行指令,也就是说,经由 sudo 所执行的指令就好像是 root 亲自执行。 二、历史命令 基本使用: 1、root的历史命令 histroy 三、端口 使用netstat 网络连接命令,分析可疑端口、IP、PID 四、进程 使用ps命令,分析进程 ps aux | grep pid 面试题:linux里把病毒进
Linux入侵排查
Naive的博客
10-22 1546
应急响应指遇到重大或突发事件后所采取的措施和行动,应急响应所处置的突发事件不仅仅包括硬件、产品、网络、配置等方面的故障,也包括各类安全事件,如:黑客攻击、木马病毒、勒索病毒、Web攻击等。
玄机linux应急第一章
01-23
### Linux应急处理 第一章 内容 #### 1. 环境介绍 在进行Linux应急响应时,首先要确认当前系统的环境。对于Debian系统而言,可以通过命令`lsb_release -a`来查看发行版的具体信息[^1]。 ```bash root@ip-10-0-10-2:~# lsb_release -a No LSB modules are available. Distributor ID: Debian Description: Debian GNU/Linux 10 (buster) Release: 10 Codename: buster ``` #### 2. 日志分析基础 日志文件是应急响应中的重要资源之一,在Linux系统中尤其如此。除了常见的syslog外,还存在专门用于记录认证事件的日志文件——`/var/log/auth.log`。此文件不仅限于保存用户的登录尝试情况,还包括了更多类型的账户活动详情[^2]。 为了防止因二进制数据导致的错误输出,在使用工具如`grep`读取这些特殊格式的日志条目时应加上选项`-a`以确保正常解析文本内容: ```bash cat /var/log/auth.log | grep -a "关键词" ``` #### 3. 安全审计案例研究 针对特定场景下的安全审查工作,比如检测是否存在暴力破解攻击行为,则可以利用shell脚本组合多个命令实现自动化统计功能。例如计算某个时间段内成功登陆次数最多的IP地址及其对应的访问频率: ```bash cat /var/log/auth.log* | grep -a "Accepted" | awk '{print $11}' | sort -nr | uniq -c ``` 上述指令将会筛选出所有成功的SSH连接请求,并按照远程主机名或公网IPv4地址分组计数显示出来[^4]。 #### 4. 实战练习提示 当面对实际问题时,可能会遇到各种意外状况,像之前提到过的由于未正确设置参数而引起的程序异常终止等问题都属于常见挑战的一部分。因此建议读者多加实践并熟悉常用调试技巧,以便能够在真实环境中快速定位并解决问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

竹等寒

谢过道友支持,在下就却之不恭了

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值