前言
在对MeAndGirlfriend进行黑盒测试后,我们试着从蓝方的角度去进行应急响应来先简单了解一下应急响应的大概流程
应急响应过程
首先,我们已知被渗透了,那么先把root用户的密码修改一下
然后用新密码登录root用户,我们先用lastlog命令去看最近有哪些用户登录
如图发现最近登录的用户是alice,其中IP地址为192.168.43.1(可能是代理IP),我们用接下来用lastb去看一下ssh日志文件
发现除了root用户,其它用户的IP地址均为192.168.43.1,说明ssh被爆破了,而flag文件属于高权限,我们可以看一下当前系统中存在几个uid为0的用户
awk -F: ‘{if($3==0) print $1}’ /etc/passwd
如图uid用户只有root,但是root用户并没有登录,说明是alice做了一些提权操作
我们再检查一下有没有留下后门
netstat -anlp : more
如图进程都是正常的,并没有留下后门。
看下是否存在挖矿木马
top
如图进程都是正常的,并没有哪个进程过多占用CPU
查看24小时以内,有没有什么文件被修改过
find ./ -mtime 0 -name “*.php”
参数-mtimie 等于0的时候表示查找近24小时以内被修改内容的文件
什么也没有,说明并没有什么文件近期被修改过,接着我们查看24小时以内,有无新增文件
find / -ctime -2 | more | grep php
可以看到alice下面有一个可疑文件
我们来查看一下命令历史记录
.bash_history
如此就可以看到攻击者执行的操作了
那么用户是如何获取alice的相关信息的呢,我们去查看网络日这来寻求结果
如图发现用户192.168.43.1一直在不断的访问不同的id,说明存在越权访问漏洞导致了alice用户的信息泄露
总结
记住下面常见的命令
改密码:
password
查看用户登录信息:
lastlog
查看ssh日志文件:
lastb
查看当前系统中存在几个uid为0的用户:
awk -F: ‘{if($3==0) print $1}’ /etc/passwd
检查是否留后门:
netstat -anlp : more
查看是否存在挖矿木马:
top
查看最近被修改的php文件:
find ./ -mtime 0 -name “*.php”
查看最近新增的php文件:
find / -ctime -2 | more | grep php
查看命令历史记录:
.bash_history
查看当前目录下的所有文件及详细信息
ls -alt