一次简单的入侵排查

这次是在靶场中完成一次入侵排查，靶机是centos 7 系统

首先登入系统，查看一下开放的端口

发现没有web服务，但是开放了22端口，ssh服务

确认ssh服务是否开启

查看ssh服务的配置文件，/etc/ssh/sshd_confiig

发现是任何人都可以登录，没有限制，那么就考虑有没有被暴力破解的可能性

定位有多少IP在登陆错误主机的root帐号

命令：grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

并没有发现什么，我们到日志目录下看一下

发现还有一个备份文件，在他里面找一下

发现192.168.226.1错误登录了八百多次，基本确定是暴力破解

我们再在日志里检索一下登陆成功的IP，看他暴力破解是否成功

命令：grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

看到该IP成功登录了，基本确定他就是攻击IP，接下来我们看一下他干了什么，先排查一下用户，看是否有可疑用户

命令：cd /home

              ls

用户目录里只有一个用户，我们再去用户配置文件里看一下

命令：vim /etc/passwd

发现居然还有一个目录里看不到的用户

而且我们su进去查看一下，发现居然还是root权限，很可疑

输入命令last，可以看用户最后一次登录时间

发现刚才可疑IP登陆过wxiaoge这个账户，确定wxiaoge是攻击者创建的恶意账户

然后再次查看一下端口连接看有没有可疑进程

发现一个IP使用6666端口一直在连接一个名为shell.elf的文件，绝对有问题

然后次数越来越多，怀疑设置了定时任务，查看cron定时任务列表

果然有一个定时任务一直在执行shell.elf文件，我们拿刚找到的PID找到这个文件的路径

lsof -p PID

找到文件在 /root目录下

查看一下创建时间

直接下载，拿到微步上分析一下

果然是一个恶意后门文件。

这次排查就到这里，初步判断攻击者应该是利用192.168.226.1进行了暴力破解，暴力破解成功之后登录，创建了特权用户wxiaoge，并且上传了木马shell.elf,木马上传的时间和创建用户的时间基本在同一时间端。推测连接木马的192.168.226.131应该为攻击者的虚拟机或者是抓到的肉鸡，应该是同一个人干的。