Linunx应急响应

已于 2024-07-23 19:10:26 修改
阅读量408 收藏 9
点赞数 5
文章标签: 应急响应 Linux
于 2024-05-12 18:32:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/woshicainiao666/article/details/138762696
版权

Linux应急流程

序号任务内容
1请提交攻击者的 IP 地址
2请提交攻击者使⽤的操作系统
3请提交攻击者进⼊⽹站后台的密码
4请提交攻击者⾸次攻击成功的时间,格式:DD/MM/YY:hh:mm:ss
5请提交攻击者上传的恶意⽂件名(含路径)
6请提交攻击者写⼊的恶意后⻔⽂件的连接密码
7请提交攻击者创建的⽤户账户名称
8请提交恶意进程的名称
9请提交恶意进程对外连接的 IP 地址

1,请提交攻击者的 IP 地址

首先查.hash_history文件,

在这里插入图片描述

发现中间件是tomcat,那就查tomcat的日志文件,使用find文件找到tomcat位置

![[Pasted image 20240512172959.png]]

![[Pasted image 20240512173305.png]]

仔细观察Juneha.jpeg从图片变成了jsp文件,且状态码为200,说明上传成功

恶意IP地址:192.168.31.132

![[Pasted image 20240512181137.png]]

2,请提交攻击者使⽤的操作系统

Windows NT 10.0

3,请提交攻击者进⼊⽹站后台的密码

查看.bash_history文件

![[Pasted image 20240512174053.png]]

4,请提交攻击者⾸次攻击成功的时间,格式:DD/MM/YY:hh:mm:ss

首次攻击成功,是上传成功POST文件的时间,使用stat,得出文件详细信息

![[Pasted image 20240512174655.png]]

![[Pasted image 20240512174822.png]]

5,请提交攻击者上传的恶意⽂件名(含路径)

上传恶意文件,肯定上传到/opt/tomcat,这个目录下。
grep -rl "exec(" /opt/tomcat/     是在/opt/tomcat这个目录下,递归查询文件中存在"exec("
字样的文件,只输出文件名

![[Pasted image 20240512175533.png]]

/opt/tomcat/webapps/ROOT/teacher/cmd.jsp

6,请提交攻击者写⼊的恶意后⻔⽂件的连接密码

cat /opt/tomcat/webapps/ROOT/teacher/cmd.jsp

![[Pasted image 20240512175824.png]]

7,请提交攻击者创建的⽤户账户名称

在.bash_history文件中搜索passwd
passwd user 是创建user用户

![[Pasted image 20240512180038.png]]

8,请提交恶意进程的名称

在Juneha用户目录下发现隐藏文件.t0mcat

![[Pasted image 20240512180208.png]]

9,请提交恶意进程对外连接的 IP 地址

strings .t0mcat | grep [0-9]

![[Pasted image 20240512180347.png]]

netstat -anp | grep .t0mcat

**![[Pasted image 20240512180828.png]]**

🍬 博主介绍
👨‍🎓 博主介绍:大家好,我是 hacker-routing ,很高兴认识大家~
✨主攻领域:【渗透领域】【应急响应】 【edusrc漏洞挖掘】 【VulnHub靶场复现】【面试分析】
🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋

🍬 博主资源
🎉需要如下资料和培训的可加微信和知识星球(前50名为邀请嘉宾) 知识星球号:9081196🎉
1、全国职业技能大赛——信息安全管理与评估WP+环境
2、全国职业技能大赛——司法技术赛项WP+环境
3、CTF最新资料+相关工具(圈子交流)
4、SRC漏洞挖掘的大量原创报告

在这里插入图片描述

co丶unttt
关注
Linux系统应急响应
谢公子的博客
07-01 6033
目录 排查用户相关的信息 排查进程端口相关的信息 查找恶意程序并杀掉 斩草除根 判断入侵方式,修复漏洞 当我们被告知一台Linux服务器被黑客入侵,黑客利用该服务器进行挖矿,并且在该服务器上放置了木马后门。现在我们需要对该服务器做排查,关闭和清除掉挖矿程序以及木马后门,探测出黑客是通过什么方式入侵该服务器的,并且最后要将该漏洞进行修补,以确保服务器的正常运行。 首先,当我们登陆...
应急响应linux 排查
网络安全
06-29 1026
有招聘需求的可以后台联系运营人员。最近发现一个不错的在线靶场,给大家推荐一下。 玄机靶场地址:https://xj.edisec.net/第一章 应急响应- Linux入侵排查1.web目录存在木马,请找到木马的密码提交 2.服务器疑似存在不死马,请找到不死马的密码提交 3.不死马是通过哪个文件生成的,请提交文件名 4.黑客留下了木马文件,请找出黑客的服务器ip提交 5.黑客留下了木马...
记一次文件上传应急响应排查思路
weixin_48421613的博客
07-26 1116
某次应急响应的简单查杀思路(好吧,我承认了,不是应急响应,是应急演练,略略略) 发现应急事件,服务端日志出现告警信息,排查方式如下: 登录管理员用户之后,打开cmd命令行(win+r)查看当前用户 net user 查看当前用户 net localgroup administrators 查看当前用户组 发现可疑管理员用户admin,进入到用户文件夹进行确定,发现新增可疑用户文件夹,此用户存在登录行为,记住在不清楚文件夹内容的时候不要去点 win+R,输入eventvwr.msc,直接进入事
应急响应练习2
whale_waves的博客
11-13 2742
1. 请提交攻击者ip与系统版本 2. 攻击者通过某个组件漏洞获得服务器权限,请提交该组件的名称 3. 请提交攻击者首次攻击成功的时间 4. 请提交攻击者上传的webshell文件绝对路径 5. 请提交攻击者使用的webshell管理工具 6. 攻击者进一步留下的免杀的webshell在网站中,请提交该shell的原文内容 7. 攻击者修改了某文件,导致webshell删除后,攻击者仍然拥有服务器权限,请提交该文件的绝对路径 8. 请提交网站服务连接数据库使用的数据库账号和密码 9. 请提
应急响应全流程
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
07-21 517
网络安全保证资产可靠稳定的运行,不受偶然的或恶意的因素影响。保证网络中传输的数据的完整性,可用性,机密性。
Linux 应急响应手册v1.8 发行版.zip
最新发布
07-24
Linux应急手册》是一本为Linux系统管理员和运维工程师量身打造的...本书内容涵盖了Linux系统安全、性能优化、故障排查等多个方面,通过丰富的实战案例和详细的操作步骤,帮助读者掌握Linux应急响应的核心技能和知识。
最新Linux 应急响应手册v1.8 发行版
01-11
最新Linux 应急响应手册v1.8 发行版
Linux应急响应工具箱
03-31
在IT领域,Linux应急响应是处理系统安全事件的关键环节,特别是在面临恶意软件攻击或系统被入侵的情况下。"Linux应急响应工具箱"是一个集合了多种工具和脚本的资源,旨在帮助管理员快速、有效地分析和应对安全问题。...
Linux 应急响应手册v1.3 发行版-s1
08-04
Linux 应急响应手册v1.3 发行版-s1 本手册旨在提供 Linux 操作系统的应急响应指南,帮助用户快速处理常见的安全事件和故障排除。下面是从本手册中提取的关键知识点: Linux 应急响应 * 应急响应手册v1.3 发行版-...
Linux应急响应——SSH暴力破解+crontab隐藏后门——事件复现(含靶场环境)下载地址.txt
04-21
Linux应急响应——SSH暴力破解+crontab隐藏后门——事件复现(含靶场环境)下载地址,真实有效,亲测可用。
应急响应知识总结
莫黎小天
10-09 2984
应急响应流程,linux,window操作说明
应急响应练习1
whale_waves的博客
11-13 3000
4. 提交攻击者目录扫描所使用的工具名称 从目录攻击的流量来看,在常用的目录扫描工具中 使用的应该是用的:御剑或者dirsearch 响应消息短,大量head请求方法以及host消息头 如果是dirbuster会有user-agent特征 Dirb user-agent会显示ie6.0 其大概就是, 只有御剑和dirsearch没有us
2022全国职业技能大赛“信息安全管理与评估“--应急响应日志分析解析(高职组)
Aluxian_的博客
02-16 4783
竞赛有固定的开始和结束时间,参赛队伍必须决定如何有效的分配时间。请认真阅读以下指引!(1)当竞赛结束,离开时请不要关机;(2)所有配置应当在重启后有效;(3)除了CD-ROM/HDD/NET驱动器,请不要修改实体机的配置和虚拟机本身的硬件设置。所需的设备、机械、装置和材料所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。评分方案本项目模块分数为350分。
第一部分 网络安全事件响应_提交攻击者资产收集所使用的平台(1)
2401_84139624的博客
04-09 632
答案:shodan。
bugku 网络安全事件应急响应
qq274575499的博客
05-23 1144
X集团的WebServer服务器遭到黑客入侵,该服务器的Web应用系统被上传恶意软件,系统文件被恶意软件破坏,您的团队需要帮助该公司追踪此网络攻击的来源,在服务器上进行全面的检查,包括日志信息、进程信息、系统文件和恶意文件等。通过分析黑客的攻击行为,我们将发现系统中的漏洞,并对其进行修复。
第一部分 网络安全事件响应
m0_45155797的博客
12-14 744
A集团的WebServer服务器被黑客入侵,该服务器的Web应用系统被上传恶意软件,系统文件被恶意软件破坏,您的团队需要帮助该公司追踪此网络攻击的来源,在服务器上进行全面的检查,包括日志信息、进程信息、系统文件、恶意文件等,从而分析黑客的攻击行为,发现系统中的漏洞,并对发现的漏洞进行修复。
D 模块 CTF 防御
小小猪的博客
10-16 3539
第四部分:D 模块 CTF 夺旗-防御 总体要求:根据任务要求,参赛队通过扫描、渗透测试等手段检测自己堡垒 服务器中存在的安全缺陷,进行针对性加固,从而提升系统的安全防御性能。 注意:该模块所有的时间格式是数据包内设置时间格式为:flag{12:34:37.347025} 1)分析攻击者IP地址并作为flag提交。flag:flag{xxx.xxx.xxx.xxx} flag:flag{192.168.1.180} 2)分析攻击者找到后台地址的时间。将黑客第一次访问的后台地址的时间(Tim..
ssh获取攻击服务器的ip地址
极客栈
04-27 2116
一.设置登录sshd服务的配置: vim /etc/ssh/sshd_config SyslogFacility AUTHPRIV LoginGraceTime 2m PermitRootLogin yes StrictModes yes MaxAuthTries 6 MaxSessions 1 PasswordAuthentication yes 配置好之后,如果有失败的登录会记录到文件/var/log/secure*中 2.查看登录记下来错误的ip more /var/log/secu
Linux应急响应流程
06-09
Linux应急响应Linux Incident Response, LIR)是一个系统管理员或安全专家在Linux系统遭受安全事件时采取的一系列步骤。这个流程通常包括以下几个阶段: 1. **检测和确认**: - 监控系统日志和安全工具(如审计...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值