前言
分析这个流量包
攻击者使用的端口扫描工具
查阅资料,知道了攻击者用nmap扫描留下的痕迹
通过流量及日志审计,攻击者上传shell的时访问web使用IP地址
发现这个ip上传了图片
审计流量日志,攻击者反弹shell的地址及端口
找到了ip 192.168.150.2:4444
攻击者使用的提权方式及工具
想翻日志,又不知道翻什么,去查了资料
那就试试去找auth.log找登录信息,找不到,换个角度,去看返回包的内容
用了bin/bash
攻击者创建的新用户名是?
搜索add
发现这里新加了用户名security和其密码
攻击者将shell删除并放到了其他web目录,文件名被改变了,找出他的绝对路径及文件名
继续往下翻找
攻击者使用新用户留下了木马进行不法行为,找出程序名,给出程序的绝对路径
找到木马