实验五 应急响应技术

一、实验目的

1、理解应急响应的概念及其重要性，提升安全意识和应对能力；

2、熟悉并掌握入侵排查的流程和技术；

3、掌握对linux、windows主机进行入侵排查的方法。

二、实验任务

1、分析linux主机被入侵的原因并找出存在的后门；

2、分析windows主机被入侵的原因并找出存在的后门。

三、实验环境

1、靶机地址：

2、攻击机地址：192.168.84.130

四、实验过程和实验结果

Linux入侵排查

1、su root 切换到root目录后使用 history 命令查看历史运行的命令发现历史命令记录被删除，猜测疑似被入侵

2、cd 切换到home目录下，发现隐藏文件

3、把隐藏文件复制出来，拿去杀毒分析

拿去微步沙箱检测

拿去世界杀毒网检测

根据以上结果确定是恶意文件

1. 排查计划任务

    

cd /root切换到root目录，发现sh反弹shell脚本

排查ssh公钥

cd /root/.ssh

发现被写入ssh公钥

1. 入侵原因分析

查看ssh日志

cat /var/log/secure

发现ssh被同一ip 192.168.0.1暴力破解

192.168.0.130登录到本机的ssh

结论：攻击者通过ssh暴力破解进入linux主机并投放木马。

整改意见：更换ssh的密码，限制同一用户多次登录。

windows入侵排查

1、使用360星图分析web日志

日志文件位置

C:\phpStudy\Apache\logs

2、找到配置文件，修改成对应自己的日志位置

然后启动

3、等待一段时间后在result目录下找到结果

4、打开可以看到结果，从访问量判断是从phpmyadmin入口进行攻击

5、猜测网站是被写入webshell

6、使用D盾查杀，以管理员身份运行

7、确认后门位置，发现被写入隐藏账号

8、安装火绒查杀木马

9、排查注册表，win +r运行

找到这个位置

发现注册表被写入恶意的启动项

10、找到vbs文件

拿去微步分析

拿去世界杀毒网

11、确认为恶意文件

结论：因为phpmyadmin弱口令登录导致被写入webshell

整改原因：更换mysql密码，设置mysql配置为不可写文件

• 实验总结

Linux主机被入侵的原因主要包括弱口令、默认管理端口、隐藏账户以及网络攻击，而存在的后门可能通过修改ssh密码、限制同一用户多次登录、检查并删除隐藏文件和恶意脚本等方式找出并处理。‌

Linux主机的入侵排查和分析涉及多个方面，包括检查隐藏账户及弱口令、系统日志、以及系统资源的使用情况。具体来说：

 1、‌检查隐藏账户及弱口令‌：攻击者可能会创建隐藏账户或利用已知账户（如管理员账户、数据库账户等）使用简单密码进行攻击。通过usermod -L 用户名禁用可疑用户或使用userdel -r 用户名删除用户，可以减少潜在的安全风险。

 2、‌查看系统日志‌：通过检查/var/log/secure文件，可以查看是否有可疑IP成功登录机器的记录。这有助于发现潜在的入侵行为。

 3、‌系统资源的使用情况‌：监控CPU、内存、磁盘的状态，通过命令如top -c -o %CPU和top -c -o %MEM排序CPU和内存占比多的程序，可以发现异常的活动。

对于‌Windows主机‌，被入侵的原因同样包括弱口令和网络攻击，但排查方法略有不同：

 1、‌弱口令‌：Windows主机可能因为phpMyAdmin等应用的弱口令而被攻击者利用。通过修改密码和配置，增强安全性，例如将mysql密码更换，并设置mysql配置为不可写文件，以防止进一步的攻击。

 2、‌使用360星图分析web日志‌：通过分析访问日志，可以发现异常的访问模式，如从phpMyAdmin入口的攻击，进而发现潜在的webshell和后门程序。

综上所述，无论是Linux还是Windows主机，加强密码策略、定期审查和更新安全策略、以及及时更新和应用安全补丁是预防被入侵的关键措施。同时，对于已经发生的入侵事件，通过详细的日志分析、系统资源监控以及专业的安全工具进行深入分析，可以有效找出后门和恢复系统的安全状态。

在实验过程中，碰到了几次错误：

1、360星图分析web日志不熟悉，刚开始修改配置文件的时候出了错，路径我一直写到了access文件那儿，所以出不来，而且我360星图忘了复制到win7那使用了，开始一直在物理机上搞，没意识到这个，我还说怎么出不来，后来没事了。