一、实验目的
1、 理解应急响应的概念及其重要性,提升安全意识和应对能力;
2、熟悉并掌握入侵排查的流程和技术;
3、掌握对windows、linux主机进行入侵排查的方法。
二、实验任务
1、分析windows主机被入侵的原因并找出存在的后门;
2、分析linux主机被入侵的原因并找出存在的后门。
三、实验环境
1、靶机地址:169.254.170.223(windows)、192.168.5.135(Linux)
2、攻击机地址:192.168.169.74
四、实验过程和实验结果
(一)、windows入侵排查
1.查看kali的ip
2.查看windows7靶机的ip
3.使用360星图分析web日志,先找到日志文件位置,在本机下载360星图,找到360星图配置文件,修改成对应自己的日志位置,然后点击start.bat运行,稍等一会然后去result查看结果,打开即可
4.从访问量判断是从phpmyadmin入口进行攻击
5.猜测网站是被写入webshell攻击
6.使用D盾查杀,首先以管理员权限运行,点击“是”
7.点击查杀,确认后门位置
8.点击克隆账号检测,发现被写入隐藏账号,从本机复制火绒到win7里面安装,进行病毒查杀,发现木马
9.排查注册表,win+r打开regedit,找到如图所示的位置,发现注册表被写入恶意的启动项
10. 找到ctmbtuzv的vbs文件
11.拖到本机去微步分析,登录网站https://s.threatbook.com/
12. 拿去世界杀毒网,登录网站https://www.virscan.org/
确认为恶意文件
结论:因为phpmyadmin弱口令登录导致被写入webshell
整改意见:更换mysql密码,设置mysql配置为不可写文件
(二)、Linux入侵排查
1.查看Linux靶机ip地址
2. su root 切换到root目录后,使用 history 命令查看历史运行的命令,发现历史命令记录被删除,猜测疑似被入侵
3. cd 切换到home目录下,发现隐藏的文件.test,
4. 把隐藏文件复制出来
5.拿去世界杀毒网检测
6. 拿去微步沙箱检测
根据以上结果,确定是恶意文件
7. 排查计划任务
8.cd到root用户下,查看目录,发现sh脚本
9. 排查ssh公钥,cd /root/.ssh,发现被写入ssh公钥
10. 入侵原因分析,查看ssh日志,cat /var/log/secure。发现ssh被同一ip 192.168.0.1暴力破解
11. 发现192.168.0.130登录到本机的ssh
结论:攻击者通过ssh暴力破解进入linux主机并投放木马。
整改意见:更换ssh的密码,限制同一用户多次登录。
五、实验总结
通过本次实验,我初步掌握了windows入侵排查的方法,了解了应急响应的概念及其重要性,提升了安全意识和应对能力,熟悉了流程和技术,以下是我罗列的Windows入侵排查的步骤:
- 分析入侵过程
- 入侵排查方法
- 检查系统账号安全
- 检查异常端口、进程
- 检查启动项、计划任务和服务
- 检查系统相关信息
- 日志分析
- 工具查杀
- 病毒分析
Linux入侵排查的方法和步骤包括以下内容:
1.检测系统账号安全,查看隐藏账户和弱口令。
2.历史命令查看,使用history指令查看历史Linux指令。
3.检查异常端口和进程,使用netstat查看异常端口,ps检查异常进程。
4.检查系统启动项,查看是否有木马或病毒隐藏在开机启动中。
5.检查系统定时任务,黑客可能使用crontab创建定期任务。