应急响应靶场

靶场搭建

靶场环境搭建：首先确定目标靶机的IP地址：

端口探测：发现只开放了22号端口

尝试利用hydra进行爆破：

成功找到了密码。ssh远程登录之后，添加后门账号:

msfvenom生成msf的木马：

利用python快速搭建http服务，上传木马文件：

给木马文件执行权限，同时移动到根目录并且重命名：

msf起监听：

创建ps后门：

创建隐藏文件夹，同时将ps命令移动到隐藏文件夹：

重新写一个/usr/bin/ps文件：

创建定时任务后门：

删除历史命令记录：

后面即可执行上线到msf了！

应急

查看端口的开放情况：

执行的文件是centos_core，这里就可以通过find命令去查找这个文件在什么地方了！当然也可以通过lsof命令来定位！

lsof -p pid

利用stat查看文件创建的时间：

既然找到了文件，便来到了根目录下面，但是还发现了一个shell的文件！于是上传微步沙箱进行检测，发现了：

该文件是后门文件！查看是否存在隐藏用户等信息：

通过查看/etc/passwd文件，发现了存在一个名为hacker的用户！确认是新增加的用户。并且是一个特权用户！

查看特权用户！
awk -F: '($3 == 0) { print $1 }' /etc/passwd

查看可以远程登陆的用户信息：

awk '/\$1|\$6/{print $1}' /etc/shadow

可以远程登陆的用户上面还是存在这个hacker账号！查看定时任务：

存在一个定时任务！会以root的身份，每分钟执行这个后门文件！查看是否存在历史命令：

不存在，上面的命令都是现在执行过的命令！查看/root下面是不是存在.bash_history文件：

也被删除了！查看是不是存在文件被替换过：

rpm -Vf /usr/bin/*
上面的结果：
#S 关键字代表文件大小发生了变化
#5 关键字代表文件的 md5 值发生了变化
#T 代表文件时间发生了变化

    所以可以看得到/usr/bin/ps这个文件的文件大小 md5 文件时间都发生了改变！

发现ps命令会卡住！查看文件的内容：

查看ps的内容，发现ps变成了后门文件！通过文件内容的查看就发现了后门文件在根目录下面！

#每次执行ps命令都会执行centos_core.elf文件、.hide_command/ps文件
#grep -v的意思是只打印没有匹配的，而匹配的反而不打印，相当于隐藏shell、centos_core、bash异常文件信息

检测文件的结果也显示是后门文件：

最终我们需要将ps文件替换回来，同时将定时任务删除掉！然后杀死进程之后，删除两个后门文件。最终再将/etc/passwd文件中的hacker用户信息全部删除！