事件响应
任务环境说明:
✓ 服务器场景:Server2216(开放链接)
✓ 用户名:root密码:123456
1.黑客通过网络攻入本地服务器,通过特殊手段在系统中建立了多个异常进程,找出启动异常进程的脚本,并将其绝对路径作为Flag值提交;
nmap扫出来开启了22端口,也知道了root密码直接连接
flag:/var/spool/cron/root
2.黑客通过网络攻入本地服务器,通过特殊手段在系统中建立了多个异常进程,将恶意脚本的源文件所在的绝对路径作为Flag值提交; (多个路径之间以英文逗号分割,如:/etc/proc,/etc/my.cnf)
root目录下有两个脚本文件查看发现
1.sh是反弹shell脚本
2.sh是crontab任务计划设置脚本
再加上第一题的异常脚本进程
flag: /root/1.sh,/root/2.sh,/var/spool/cron/root
3.黑客在服务器某处存放了多个木马程序,请你找到此木马程序并清除木马,将木马建立连接所使用的端口号作为Flag值提交;
这个脚本是反弹shell连接 端口是5555
flag:5555
4.黑客通过网络攻入本地服务器,将黑客暴力破解服务器的次数作为Flag值提交;
进入linux日志存放路径:/var/log
里面secure的文件是存放成功或者失败的信息
这个命令是从中查找破解密码失败的次数
grep -o “Failed password” secure* | uniq -c
flag:1716
5.黑客攻入本地服务器,请你找出黑客成功暴力破解服务器的具体时间,将暴力破解的时间范围作为Flag值(提交的时间格式为:20220112 08:08:18-08:09:24)提交;
命令:
grep “Failed password” secure-20210420 | head - 1
grep “Failed password”secure-20210420 | tail - 1
搜索第一条信息和最后一条信息时间得出flag
flag:secure-20210420 03:28:39-03:43:24
6.黑客攻入本地服务器,请你找出黑客入侵服务器时所使用的IP地址,将IP地址作为Flag值(若存在多个IP,IP地址之间以英文逗号分割,如:10.1.1.1,20.1.1.2)提交。
命令:grep “Accepted” secure-20210420
搜索爆破成功就可以得出入侵ip
flag:192.168.184.146,192.168.184.1