linux应急响应&流量分析（附环境）

题目背景

杰克是某小学的网站开发者，同时也是运维人员

在某天，某攻击者通过旁站，成功攻击进入系统并留下后门

好在，杰克在系统中抓取了全程流量包，请你帮忙分析一下攻击者做了哪些操作

镜像链接

天翼云盘 珍藏美好生活 家庭云|网盘|文件备份|资源分享 （访问码：4ddz）

PS:杰克创建在流量包(result.pcap)在根目录下，请根据已有信息进行分析

系统信息

系统：ubuntu-22.10-desktop-amd64

Linux账号密码：security/P@ssw0rd

mysql账号密码：root/password

镜像扩展名：.OVF

攻击者使用的端口扫描工具是?

首先我们要找到Linux下面的日志文件在哪

一般情况下apache中间件的情况是在/var/log/apache2/access.log.1下面

所以我们直接就是cat access.log.1看看日志

这一大堆都是nmap的痕迹，那就确定了，用的nmap

通过流量及日志审计，攻击者上传shell的访问web的使用IP地址是多少?

将日志翻到底时发现了这样的请求

which nc

这个命令的意思是查询nc这个工具在哪，应该就是黑客在测试是否获得了权限，在数据包里面查询一下关键语句，看看是否执行成功

看样子是执行成功了，但是题目要求是看黑客访问web的时间，所以我们还需要再看

tail -fn 1000 access.log.1 |grep "uploads/admin.jpg"

可以看到这个访问了一次phpinfo，这个就是web界面的东西

所以这个192.168.150.1就是IP地址

审计流量日志，攻击者反弹shell的地址及端口?

这一题刚拿到手，我是一脸懵逼，不知道怎么办，但是一想可以查看上传码的包看看有没有什么线索

搜索关键字 uploads/admin（因为上传这个图片码的时候肯定是要显示这个图片马内的信息的，利用的时候就不会）

在这个包里面可以看到，反弹shell的接收IP地址是192.168.150.2:4444

攻击者使用的提权方式及工具是什么?

既然涉及到提权，那就得介绍一下另外一个日志了

auth.log 登录认证的信息记录

这个日志里有写登录用户的权限和登录方式，因为是网站服务器，所以最高权限应该是WWW-DATA

这个就好办了，我们直接在auth里面搜带有WWW-data的登录记录就好了

环境有问题搜不到，但是可以这么做

攻击者创建的新用户名是?

这个可以看看etc/group目录下面的东西

发现回显的东西有很多，但是这个很突出，他的优先级是1001，一般后面创建的用户都是1000开始的

而且这个用户的登陆时间和收到攻击时间差别并不大，相当于是刚创建没多久就开始攻击了，这个就是的

还有一个办法

那就是在home目录下面看一共有几个用户名

只有这俩

再看看securityy的创建时间

sudo passwd -S securityy 

创建时间是8.18号

我们再看一下auth.log下面所有关于securityy的信息

PS：此环境有问题

攻击者将shell删除并放到了其他web目录，文件名被改变了，找出他的绝对路径及文件名

既然是web目录那就离不开WWW目录，我们直接在WWW目录底下搜<? eval 最大范围搜索看看有没有相关信息

呦，还真有

grep -r "<?php eval" -l /var/www/

-r 是查找的目标是文件夹并非文件

-l 是列出文件内容符合指定的范本样式的文件名称

/var/www/blog/.ShEllHAha/.hackba.php

攻击者使用新用户留下了木马进行不法行为，找出程序名,给出程序的绝对路径

到这里介绍一下crontab这个命令，这个是查找定时任务的

上面显示这个用户是没有相关的自动执行进程的，那就是在攻击者创建的用户下进行的

首先登录root用户，然后再执行

crontab -u securityy -l

这里是指定了用root来查询这个用户下面的所有定时进程任务

cat这个文件看看里面是什么

显示输出wakuang

那就是挖矿木马了

就是这个没错了