玄机平台应急响应—Linux入侵排查

1、前言

这篇文章主要说一下linux的入侵排查，也就是说当你的服务器已经被入侵的时候，该如何去排查使其恢复正常。下面是排查的步骤，但是实际情况往往更为复杂，需要进一步来分析，而不是无脑的按照步骤来敲就完事了。

检查系统账户安全、排查可疑账号、新增账号
检查历史命令
检查异常的端口检查异常进程
检查开机启动项、定时任务和服务，这几个都是攻击者维持权限的惯用手段
检查异常文件、后门
检查系统日志
检查web日志
文件修改日期

2、玄机平台实战

因为我也搞不到现实中被入侵的服务器，所以就用玄机平台上面的靶机来演示一下吧，在这里感谢刘健师兄送我的邀请码。

2.1、flag1

一样ssh连接上主机，然后看看它flag的要求。

先排查一下木马吧，怎么排查上一篇文章有说，直接搜出三个木马。或者你直接把文件下载下来，然后丢到阿里伏魔上面去检测也行。

find / -name "*.php" | xargs grep "eval" -ls

打开1.php，里面的密码就是我们的第一个flag。(有点蒙，居然这么简单)

flag{1}

2.2、flag2

flag2是要找不死马的密码，很显然.shell.php是由index.php生成的不死马。直接打开就可以获得密码了。

flag2{hello}

2.3、flag3

第三个flag是找到不死马是由哪个文件生成的，上面说过了是index.php生成的。

flag{index.php}

2.4、flag4

这个flag说黑客留下了一个木马，那么我估计就是这个shell(1).elf了。

要我们找到黑客服务器的ip，那么我们直接运行这个木马然后看它连接情况不就好了。

chomod 777 shell\(1\).elf  \\加斜杠是为了转义括号，不然命令会报错
./shell\(1\).elf

然后查看木马的连接情况，可以看到木马连接的IP，也就是黑客的服务器IP。

flag{10.11.55.21}

netstat -anp

2.5、flag5

这个不用多说了。

flag{3333}

3、总结

这个靶机比较简单，体现不出什么来。实际情况都是很复杂滴，有机会接触到再分享吧。

最后，以上仅为个人的拙见，如何有不对的地方，欢迎各位师傅指正与补充，有兴趣的师傅可以一起交流学习。