一、实验目的
1、理解应急响应的概念及其重要性,提升安全意识和应对能力;
2、熟悉并掌握入侵排查的流程和技术;
3、掌握对linux、windows主机进行入侵排查的方法。
二、实验任务
1、分析linux主机被入侵的原因并找出存在的后门;
2、分析windows主机被入侵的原因并找出存在的后门。
三、实验环境
1、靶机地址:
2、攻击机地址:192.168.84.130
四、实验过程和实验结果
Linux入侵排查
1、su root 切换到root目录后使用 history 命令查看历史运行的命令发现历史命令记录被删除,猜测疑似被入侵
2、cd 切换到home目录下,发现隐藏文件
3、把隐藏文件复制出来,拿去杀毒分析
拿去微步沙箱检测
拿去世界杀毒网检测
根据以上结果确定是恶意文件
- 排查计划任务
cd /root切换到root目录,发现sh反弹shell脚本
排查ssh公钥
cd /root/.ssh
发现被写入ssh公钥
- 入侵原因分析
查看ssh日志
cat /var/log/secure
发现ssh被同一ip 192.168.0.1暴力破解
192.168.0.130登录到本机的ssh
结论:攻击者通过ssh暴力破解进入linux主机并投放木马。
整改意见:更换ssh的密码,限制同一用户多次登录。
windows入侵排查
1、使用360星图分析web日志
日志文件位置
C:\phpStudy\Apache\logs
2、找到配置文件,修改成对应自己的日志位置
然后启动
3、等待一段时间后在result目录下找到结果
4、打开可以看到结果,从访问量判断是从phpmyadmin入口进行攻击
5、猜测网站是被写入webshell
6、使用D盾查杀,以管理员身份运行
7、确认后门位置,发现被写入隐藏账号
8、安装火绒查杀木马
9、排查注册表,win +r运行
找到这个位置
发现注册表被写入恶意的启动项
10、找到vbs文件
拿去微步分析
拿去世界杀毒网
11、确认为恶意文件
结论:因为phpmyadmin弱口令登录导致被写入webshell
整改原因:更换mysql密码,设置mysql配置为不可写文件
- 实验总结
Linux主机被入侵的原因主要包括弱口令、默认管理端口、隐藏账户以及网络攻击,而存在的后门可能通过修改ssh密码、限制同一用户多次登录、检查并删除隐藏文件和恶意脚本等方式找出并处理。
Linux主机的入侵排查和分析涉及多个方面,包括检查隐藏账户及弱口令、系统日志、以及系统资源的使用情况。具体来说:
1、检查隐藏账户及弱口令:攻击者可能会创建隐藏账户或利用已知账户(如管理员账户、数据库账户等)使用简单密码进行攻击。通过usermod -L 用户名禁用可疑用户或使用userdel -r 用户名删除用户,可以减少潜在的安全风险。
2、查看系统日志:通过检查/var/log/secure文件,可以查看是否有可疑IP成功登录机器的记录。这有助于发现潜在的入侵行为。
3、系统资源的使用情况:监控CPU、内存、磁盘的状态,通过命令如top -c -o %CPU和top -c -o %MEM排序CPU和内存占比多的程序,可以发现异常的活动。
对于Windows主机,被入侵的原因同样包括弱口令和网络攻击,但排查方法略有不同:
1、弱口令:Windows主机可能因为phpMyAdmin等应用的弱口令而被攻击者利用。通过修改密码和配置,增强安全性,例如将mysql密码更换,并设置mysql配置为不可写文件,以防止进一步的攻击。
2、使用360星图分析web日志:通过分析访问日志,可以发现异常的访问模式,如从phpMyAdmin入口的攻击,进而发现潜在的webshell和后门程序。
综上所述,无论是Linux还是Windows主机,加强密码策略、定期审查和更新安全策略、以及及时更新和应用安全补丁是预防被入侵的关键措施。同时,对于已经发生的入侵事件,通过详细的日志分析、系统资源监控以及专业的安全工具进行深入分析,可以有效找出后门和恢复系统的安全状态。
在实验过程中,碰到了几次错误:
1、360星图分析web日志不熟悉,刚开始修改配置文件的时候出了错,路径我一直写到了access文件那儿,所以出不来,而且我360星图忘了复制到win7那使用了,开始一直在物理机上搞,没意识到这个,我还说怎么出不来,后来没事了。