在.idea中检查到如下两个文件,推测为挖矿软件。
sevrer save_7
题目:
矿池地址是什么? 格式:domain:1234
打开mine_doge.sh可以看到内容如下
可以在POOL中找到矿池地址为 doge.millpools.cc:5567
sevrer save_8
题目:
黑客的钱包地址是多少?格式:xx:xxxxxxxx
如上题,可在mine_doge.sh中找到钱包地址为 DRXz1q6ys8Ao2KnPbtb7jQhPjDSqtwmNN9.lolMinerWorker
数据分析-WS
Wireshark1_1
题目:
被入侵主机的IP是?
经过排序后可以看到只有两个ip在通信,所以可以推测ip为192.168.246.28
Wireshark1_2
题目:
被入侵主机的口令是?
观察到这是一个telnet通信,于是追踪数据包
可以看到口令为 youcannevergetthis
Wireshark1_3
题目:
用户目录下第二个文件夹的名称是?
继续观察上一题的流量包,可以看到有文件夹列表,第二个为Downloads
Wireshark1_4
题目:
/etc/passwd中倒数第二个用户的用户名是?
从这里可以知道后面的内容是/etc/passwd文件内容,所以倒数第二个是mysql
数据分析-IR
IncidentResponse_1
题目:
你是公司的一名安全运营工程师,今日接到外部监管部门通报,你公司网络出口存在请求挖矿域名的行为。需要立即整改。经过与网络组配合,你们定位到了请求挖矿域名的内网IP是10.221.36.21。查询CMDB后得知该IP运行了公司的工时系统。(虚拟机账号密码为:root/IncidentResponsePasswd) 挖矿程序所在路径是?(答案中如有空格均需去除,如有大写均需变为小写,使用echo -n 'strings'|md5sum|cut -d ' ' -f1获取md5值作为答案)
先通过ls -la --sort=t查看近期文件改动
于是我们依次检查这些文件。在.viminfo中发现大量redis操作
进入redis目录,可以看到redis-server有7万次操作可以确定为挖矿软件
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
