一、实验目的
1、理解应急响应的概念及其重要性,提升安全意识和应对能力;
2、熟悉并掌握入侵排查的流程和技术;
3、掌握对linux、windows主机进行入侵排查的方法。
二、实验任务
1、分析linux主机被入侵的原因并找出存在的后门;
2、分析windows主机被入侵的原因并找出存在的后门。
三、实验环境
Windows7 64;Centos7 64
- 实验过程和实验结果
用户排查
查看正常用户和隐藏用户,发现隐藏用户 haha$
net user // 正常用户查看
net localgroup administrators // 隐藏用户查看
网络信息排查
netstat - -ano // 非管理员, 主要查看谁连接我
发现可疑 ip: 192.168.1.2
使用命令netstat -anob
发现无信息, 无法获取所有权信息 。
任务管理器
查看当前进程,发现可疑进程 rClcSqmoi.exe , 右键打开文件位置发现在 Temp 目录下, 八成就是木马了。
注册表排查:
发现注册表被写入恶意的启动项。查找最近打开的文件:
破案了,开了 MySQL 服务被登录 phpMyAdmin ,然后被上传木马和提权 。
属性还能看到路径, 顺着路径去找还能有更多信息。
该目录下有 phpinfo.php , shell.php , l.php 甚至有一个漏洞检测工具,
tiquan.exe 拿来提权。
Linux入侵排查
查看日志:
系统日志
%SystemRoot%\System32\Winevt\Logs\System.evtx
应用程序日志
%SystemRoot%\System32\Winevt\Logs\Application.evtx
安全日志
%SystemRoot%\System32\Winevt\Logs\Security.evtx
打开终端,查询history。
发现历史命令记录被删除,猜测疑似被入侵。
cd 切换到home目录下,发现隐藏的文件。
把隐藏文件复制出来,拿去杀毒分析。
根据以上结果,确定是恶意文件。
排查计划任务:
这里发现了/root/.test.sh。cd root 切换到root目录:
发现sh反弹shell脚本。
排查ssh公钥
cd /root/.ssh
发现被写入ssh公钥
查看ssh日志
cat /var/log/secure
发现ssh被同一ip 192.168.0.1暴力破解
在系统应用登录日志中出现了大量的ssh登录失败的请求,全都是来自192.168.0.1, 可能是伪造ip然后进行弱密码爆破,因为root密码是123456, 随后192.168.0.130就以root权限登录, 所以应该是通过爆破得到了root的密码。整改意见:更换ssh的密码,限制同一用户多次登录。
- 实验总结
通过本次实验,熟悉并掌握了入侵排查的流程和技术,以及掌握对linux、windows主机进行入侵排查的方法。入侵排查的流程包括查看日志、检查账号、查看进程、排查计划任务等。在本次实验中,要对所查找到的信息足够敏感,发现端倪,然后顺着线索进行下一步的操作,最后破案。