一、实验目的
(1)理解应急响应的概念及其重要性,提升安全意识和应对能力;
(2)熟悉并掌握入侵排查的流程和技术;
(3)掌握对linux、windows主机进行入侵排查的方法。
二、实验任务
(1)分析linux主机被入侵的原因并找出存在的后门;
(2)分析windows主机被入侵的原因并找出存在的后门。
三、实验过程和实验结果
(一)Linux入侵排查
1.su root切换到root目录后,使用history命令查看历史运行的命令,发现历史命令记录被删除,猜测疑似被入侵
2.cd切换到home目录,发现隐藏的文件
3.把隐藏文件复制出来,拿去杀毒分析
4.拿去世界杀毒网检测
5.拿去微步沙箱检测
根据以上结果,确定是恶意文件
6.排查计划任务
7.cd root切换到root目录
8.发现sh反弹shell脚本
9. 排查ssh公钥,cd /root/.ssh,发现被写入ssh公钥
10.入侵原因分析:
(1)查看ssh日志,cat /var/log/secure发现在系统应用登录日志中出现了大量的ssh登录失败的请求,全都是来着192.168.0.1
(2)随后192.168.0.130就以root权限登录到本机的ssh
11.结论:攻击者通过ssh暴力破解进入linux主机并投放木马
整改意见:更换ssh的密码,限制同一用户多次登录
(二)Windows入侵排查
1.使用360星图分析web日志,找到配置文件config,修改成对应自己的日志位置,日志文件位置C:\phpStudy\Apache\logs,然后找到启动文件start.bat启动
2.在result目录下查找结果
3.查看结果,并分析
从访问量判断是从phpmyadmin入口进行攻击,猜测网站是被写入webshell
4.以管理员身份运行D盾查杀
5.点击工具,发现被写入隐藏账号
6.使用火绒查杀木马
7.排查注册表
(1)Win+R运行
(2)发现注册表被写入恶意的启动项
(3)找到vbs文件
(4)拿去微步分析
(5)拿去世界杀毒网分析
根据以上结果确定为恶意文件
8.结论:因为phpmyadmin弱口令登录导致被写入webshell
整改原因:更换mysql密码,设置mysql配置为不可写文件
五、实验总结
通过本次实验了解到应急响应是当企业系统遭受病毒传播、网络攻击、黑客入侵等安全事件导致信息业务中断、系统宕机、网络瘫痪,数据丢失、企业声誉受损,并对组织和业务运行产生直接或间接的负面影响时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,同时分析入侵原因、还原入侵过程、评估业务损失、溯源黑客取证并提出解决方案和防范措施,减少企业因黑客带来的相关损失。
我了解到系统入侵往往从弱口令、系统漏洞以及服务漏洞进行切入,获得一个普通的系统权限,再经过提权后进行创建启动项、修改注册表、植入病毒和木马等一系列操作,从而维持对目标主机的控制权。
通过本次实验我了解到的入侵排查方法有排查可疑账号、新增账号、隐藏账号,结合日志排查,排查启动项、计划任务和服务,查看可疑目录及文件等等。