一次简单的入侵排查

已于 2023-10-13 20:54:26 修改
阅读量409 收藏 2
点赞数
文章标签: 安全
于 2023-08-14 19:29:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hovcfuti/article/details/132282660
版权

这次是在靶场中完成一次入侵排查,靶机是centos 7 系统

首先登入系统,查看一下开放的端口

发现没有web服务,但是开放了22端口,ssh服务

确认ssh服务是否开启

查看ssh服务的配置文件,/etc/ssh/sshd_confiig

发现是任何人都可以登录,没有限制,那么就考虑有没有被暴力破解的可能性

定位有多少IP在登陆错误主机的root帐号

命令:grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

并没有发现什么,我们到日志目录下看一下

发现还有一个备份文件,在他里面找一下

发现192.168.226.1错误登录了八百多次,基本确定是暴力破解

我们再在日志里检索一下登陆成功的IP,看他暴力破解是否成功

命令:grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

看到该IP成功登录了,基本确定他就是攻击IP,接下来我们看一下他干了什么,先排查一下用户,看是否有可疑用户

命令:cd /home

              ls

用户目录里只有一个用户,我们再去用户配置文件里看一下

命令:vim /etc/passwd

发现居然还有一个目录里看不到的用户

而且我们su进去查看一下,发现居然还是root权限,很可疑

输入命令last,可以看用户最后一次登录时间

发现刚才可疑IP登陆过wxiaoge这个账户,确定wxiaoge是攻击者创建的恶意账户

然后再次查看一下端口连接看有没有可疑进程

发现一个IP使用6666端口一直在连接一个名为shell.elf的文件,绝对有问题

然后次数越来越多,怀疑设置了定时任务,查看cron定时任务列表

果然有一个定时任务一直在执行shell.elf文件,我们拿刚找到的PID找到这个文件的路径

lsof -p PID

找到文件在 /root目录下

查看一下创建时间

直接下载,拿到微步上分析一下

果然是一个恶意后门文件。

这次排查就到这里,初步判断攻击者应该是利用192.168.226.1进行了暴力破解,暴力破解成功之后登录,创建了特权用户wxiaoge,并且上传了木马shell.elf,木马上传的时间和创建用户的时间基本在同一时间端。推测连接木马的192.168.226.131应该为攻击者的虚拟机或者是抓到的肉鸡,应该是同一个人干的。

白鲨6
关注
Linux手工入侵排查思路
04-19 713
当Linux主机发生安全事件需要进行入侵排查时,一般可以使用常见的shell命令,通过分析主机的异常现象、进程端口、启动方式、可疑文件和日志记录等信息以确认主机是否被入侵。在这里,结合工作...
【玄机靶场】Linux入侵排查
最新发布
yujiahui0203的博客
05-17 1251
玄机靶场,Linux入侵排查,webshell
lampiao靶场入侵检测
kunkun_xiaomeng的博客
09-10 1018
lampiao初体验
HVV蓝队之入侵排查
qq_46217803的博客
07-21 1962
众所周知,蓝队——值得就是防守方,红队——指攻击方。在HVV的时候,红方就不惜一切手段打进去,而蓝方就是维护防守设备的状况。接下来说说蓝方的各方面安全排查,思路不限。在操作系统上来分我们可以分为Windows系统、Linux系统,所以需要确定相应的系统进行排查。...
【检测SSH攻击
weixin_52295505的博客
12-28 567
检测SSH攻击通常涉及查看和分析SSH服务的日志文件。
系统安全SSH入侵的检测与响应
缘来侍你的博客
08-02 2926
一、前言 本文介绍了主机安全ssh端口入侵&检测&响应。 包括以下几个内容 1. 熟练使用hydra、msf等平台对ssh服务开展爆破行为 2. 能够在服务器上找到入侵痕迹包括攻击时间、攻击方式、是否成功、攻击源等有价值信息 我们经常会用一些ssh工具直接使用默认端口22,设置记住密码自动登录,但这样如果你的密码不够复杂很容易被攻克 下面我们就来看看ssh攻克的具体方法及解决方式。 二、实验环境 攻击主机ip:192.168.171.130(注:这里用kali虚拟机作为攻击
入侵类问题排查思路.pdf
03-24
在进行排查工作时,还应注意以下几点:保证排查过程的安全性,避免在排查过程中遭受二次攻击;及时记录排查过程和结果,有助于分析入侵途径和原因;恢复系统时要确保安全,避免遗留隐患;做好数据备份,防止因排查...
应急响应流程以及入侵排查
renyizou的博客
01-14 5878
归纳转载于: 应急响应的整体思路和基本流程 - FreeBuf网络安全行业门户不管是普通的企业,还是专业的安全厂商,都不可避免的需要掌握和运用好信息安全的知识、技能,以便在需要的时候,能够御敌千里。https://www.freebuf.com/articles/endpoint/192859.html 应急响应之windows入侵排查篇 - FreeBuf网络安全行业门户本文主要讨论windows被入侵后的排查思路。https://www.freebuf.com/articles/network/28
十一 个步骤完美排查服务器是否被入侵
huaxin_idc的博客
07-26 916
当系统中的某个文件被意外地删除了,只要这个时候系统中还有进程正在访问该文件,那么我们就可以通过lsof从/proc目录下恢复该文件的内容。
11个步骤完美排查服务器是否已经被入侵.doc
08-24
服务安全是 Linux 运维工程师的头等大事,以下是 11 个步骤完美排查服务器是否已经被入侵的详细信息: 步骤 1: 查看日志信息 入侵者可能会删除机器的日志信息,查看日志信息是否还存在或者是否被清空。相关命令...
linux(centos)系统安全snort——搭建入侵检测系统IDS
07-18
这是本人亲自测试整理和调试过的实验报告文档,本人亲测过没有问题的snort在linux系统中搭建步骤报告文档,为了和大家分享学习!
Centos7.x搭建Snort IDS入侵检测环境.pdf
09-02
本文详细记录了Centos7.x搭建Snort IDS入侵检测环境,以及在这过程中碰到的问题。使用到的软件包有:snort-2.9.15.1-1.centos7.x86_64.rpm、Pulledpork、 snortrules-snapshot-29151.tar.gz、Barnyard2、Adodb、Base
取证分析解码一次简单的网络扫描参考解答1
08-03
Wireshark是目前最广泛使用的开源网络数据包分析工具,适用于网络入侵检测和故障排查。Snort则是一个轻量级的网络入侵检测系统,它可以捕获网络流量并识别潜在的攻击行为。 **二进制网络日志文件** 是由网络监控...
SMBCrack2的口令破解与psexec.exe的使用
冷色调的夏天的博客
08-07 1万+
SMBCrack2的口令破解与psexec.exe的使用 实验环境: Windows XP:192.168.124.128 Windows Server 2003: 192.168.124.129 SMBCrack2是基于Windows 操作系统的口令破解工具,与以往的SMB(共享)暴力破解工具不同,没有采用系统的API,而是使用了SMB的协议。 SMB协议在Windows ...
SSH入侵事件日志分析和跟踪
weixin_44023460的博客
12-26 916
1.1SSH入侵事件日志分析和跟踪 simeon 1.1.1实验环境 1.环境配置 (1)IP地址。两台Kali Linux服务器,被攻击服务器A:IP地址为192.168.106.135,攻击服务器B:IP地址为192.168. 106.135 (2)服务器A用户: 2.添加用户及设置密码 (1)服务器A添加用户: useradd simeon -s /bin/bash useradd hacker -s /bin/bash useradd antian365 -s /bin/bash (2)设置密码,使
如何查看自己的ssh端口是否被攻击
mumuemhaha的博客
06-21 534
如果改了ssh端口的话,一般情况下恶意ip不会花这么多的时间成本来扫描ip开放端口然后再一个一个端口试。而且由于黑客可以换ip地址,所以即使经常更新ip黑名单被黑入的概率还是挺大的。这么做缺点就是如果到一台新的电脑上,你没有备份密钥的话登录就比较麻烦。或者可以把恶意的ip拉入黑名单,这样就可以禁止它访问我们的ip地址。恶意ip往往是批量扫描ip的22号端口来判断是否开启ssh登入。看到一些开启日志的解决方法,但是我也懒得搞了。我的ssh端口好像一直被别人用弱密码爆破。恶意ip会变化所以要经常更新ip地址。
Centos7入侵分析:分析SSH登录日志
热门推荐
u011442726的博客
09-06 1万+
检查/var/log目录下的secure(CentOS),如果存在大量异常IP高频率尝试登录,且有成功登录记录(重点查找事发时间段),在微步在线上查询该登录IP信息,如果为恶意IP且与用户常用IP无关,则很有可能为用户弱口令被成功爆破。 /var/log/其他日志说明: /var/log/message 一般信息和系统信息 /var/log/secure 登陆信息 /var/log/ma...
CentOS被攻击的分析过程
qq_40907977的博客
07-31 2657
IT行业发展到现在,安全问题已经变得至关重要,从以前的“棱镜门”事件中,折射出了很多安全问题,信息安全问题已变得刻不容缓,而做为运维人员,就必须了解一些安全运维准则,同时,要保护自己所负责的业务,首先要站在攻击者的角度思考问题,修补任何潜在的威胁和漏洞。 一次Linux被入侵后的分析 下面通过一个案例介绍下当一个服务器被rootkit入侵后的处理思路和处理过程,rootkit攻击是Linux系统下最常见的攻击手段和攻击方式。 1、受攻击现象 这是一台客户的门户网站服务器,托管在电信机房,客户接到电信的通知:
安全运维之:Linux后门入侵检测工具的使用
靠谱运维
09-25 6239
一、rootkit简介 rootkit是Linux平台下最常见的一种木马后门工具,它主要通过替换系统文件来达到入侵和和隐蔽的目的,这种木马比普通木马后门更加危险和隐蔽,普通的检测工具和检查手段很难发现这种木马。rootkit攻击能力极强,对系统的危害很大,它通过一套工具来建立后门和隐藏行迹,从而让攻击者保住权限,以使它在任何时候都可以使用root权限登录到系统。 rootkit主要有两
windows 入侵排查
09-15
针对Windows服务器的入侵排查,可以采取以下思路和方法: 1. 收集日志和信息: 首先,收集系统日志、网络流量日志、安全日志以及其他相关的事件日志。这些日志可以帮助分析人员了解入侵事件的发生和影响范围。 2. 分析异常行为: 分析日志和信息,寻找任何异常行为或不寻常的活动。这可能包括登录失败、异常的网络连接、未知的进程或文件等。通过比对正常行为和异常行为,可以确定是否发生了入侵。 3. 排除误报: 在进行入侵排查时,需要排除误报的可能性。有时,某些安全事件可能是由于系统故障或其他非恶意原因引起的。因此,需要仔细分析和验证异常行为,以确定是否真的存在入侵。 4. 扫描和检测: 使用安全工具和漏洞扫描器对系统进行全面的扫描和检测,以寻找已知的漏洞和威胁。这有助于发现可能被攻击者利用的弱点,并及时采取相应的修复措施。 5. 审查权限和访问控制: 审查系统的用户权限和访问控制策略,确保只有授权的人员能够访问敏感数据和系统资源。同时,及时禁用不再需要的账户,并定期更改密码,以减少入侵的风险。 6. 强化安全措施: 应采取一系列安全措施来加强系统的安全性,例如使用防火墙、安全补丁管理、入侵检测和防御系统等。这些措施可以减少入侵的可能性,并及时发现并应对入侵行为。 7. 响应和恢复: 一旦发现入侵事件,需要立即采取相应的响应措施。这可能包括隔离受影响的系统、修复漏洞、清除恶意文件和恢复数据等。同时,也需要制定恢复计划,确保系统能够尽快恢复正常运行。 总之,对Windows服务器进行入侵排查需要综合采取以上方法,以确保系统的安全性和稳定性。同时,持续的监测和更新安全措施也是非常重要的,以应对不断变化的安全威胁。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值