应急响应
–以me and my girlfriend 靶机为例
前面已经进行了靶机的渗透测试,接下来我们以蓝方视角来进行应急响应。
被入侵后首先要更改密码
接下来登录靶机的终端
我们先来查看一下最近哪个用户登录了。
lastlog
可以看到alice登陆过,地址是88.1(不排除是代理)
再看一下ssh日志
lastb
可以看到,我们的ssh被暴力破解了,除了root用户,其他用户登录使用的ip都是88.1
flag属于高权限,我们可以看一下当前系统中存在几个uid为0的用户
awk -F: ‘{if($3==0) print $1}’ /etc/passwd (Linux“三剑客”,它们是awk,sed,grep)
可以看到,只有root用户,但是root用户并没有登录,说明是alice做了一些操作进行了提权。
我们再看一下攻击者有没有留下什么后门。
netstat -anlp : more
进程都是正常的,并没有留下什么后门。
看一下是否存在挖矿木马。
top
进程也是正常的。
查看24小时内,有没有什么文件被修改过。
find ./ -mtime 0 -name “*.php”
什么也没有。
查看24小时内,有无新增文件。
find / -ctime -2 | more | grep php
可以看到,alice目录下有一个可疑文件。
.bash_history这个文件是命令历史记录,我们查看一下。
就可以看到攻击者执行的操作了。
那么这个alice是怎么被滥用了呢?我们去查看网站日志来寻求结果。
查看apache的访问日志。
从日志中我们可以发现,存在了越权访问漏洞,导致了alice用户被滥用。
从日志中我们可以发现,存在了越权访问漏洞,导致了alice用户被滥用。