中职组“网络安全”赛题-事件响应-1

本文描述了一连串黑客入侵事件,涉及异常进程检测、恶意脚本路径、木马清除、暴力破解次数统计、入侵时间确定以及IP地址查找。每个部分的关键信息都被转化为Flag值。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

事件响应

任务环境说明:
 服务器场景:Server2216(开放链接)
 用户名:root密码:123456

1.黑客通过网络攻入本地服务器,通过特殊手段在系统中建立了多个异常进程,找出启动异常进程的脚本,并将其绝对路径作为Flag值提交;

nmap扫出来开启了22端口,也知道了root密码直接连接

 

 flag:/var/spool/cron/root

 2.黑客通过网络攻入本地服务器,通过特殊手段在系统中建立了多个异常进程,将恶意脚本的源文件所在的绝对路径作为Flag值提交; (多个路径之间以英文逗号分割,如:/etc/proc,/etc/my.cnf)

root目录下有两个脚本文件查看发现

1.sh是反弹shell脚本

2.sh是crontab任务计划设置脚本

再加上第一题的异常脚本进程

flag: /root/1.sh,/root/2.sh,/var/spool/cron/root

3.黑客在服务器某处存放了多个木马程序,请你找到此木马程序并清除木马,将木马建立连接所使用的端口号作为Flag值提交; 

这个脚本是反弹shell连接 端口是5555

 flag:5555

 4.黑客通过网络攻入本地服务器,将黑客暴力破解服务器的次数作为Flag值提交;

 进入linux日志存放路径:/var/log

里面secure的文件是存放成功或者失败的信息

这个命令是从中查找破解密码失败的次数

grep -o “Failed password” secure* | uniq -c

 flag:1716

 5.黑客攻入本地服务器,请你找出黑客成功暴力破解服务器的具体时间,将暴力破解的时间范围作为Flag值(提交的时间格式为:20220112 08:08:18-08:09:24)提交;

命令:

grep Failed password secure-20210420 | head - 1

grep Failed passwordsecure-20210420 | tail - 1

搜索第一条信息和最后一条信息时间得出flag

 flag:secure-20210420 03:28:39-03:43:24

 6.黑客攻入本地服务器,请你找出黑客入侵服务器时所使用的IP地址,将IP地址作为Flag值(若存在多个IP,IP地址之间以英文逗号分割,如:10.1.1.1,20.1.1.2)提交。

 命令:grep “Accepted” secure-20210420

搜索爆破成功就可以得出入侵ip

flag:192.168.184.146,192.168.184.1 

 

 

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值