载入虚拟机,打开虚拟机,上网获取到密码是defend:
登录进去后发现桌面有个"题解"文件夹,里面有两个文件:
需要收集以下信息:
1、攻击者IP地址
2、三个flag
su登录root用户(密码:defend),history命令查看历史命令列表:
发现第一个flag:flag{thisismybaby}
看到有人添加了执行权限并修改了/etc/rc.d/local文件,而这个文件是配置开机脚本的,看看内容是什么:
发现第二个flag:flag{kfcvme50}
(什么疯狂星期四,V我50)
第三个flag暂时没有思路,先查看当前主机最近的用户登录情况,如何黑客成功登录,那么可以查到成功登录的记录
grep "Accepted " /var/log/secure* | awk '{print $1,$2,$3,$9,$11}'
得知在3月18日,root用户进行了登录,IP地址为192.168.75.129,验证一下是否正确
说明该IP就是攻击者的IP地址
看看有没有新增的用户:
cat /etc/passwd
没发现什么可疑的新增用户
接着看看有没有可疑的进程:
ps -aux
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1 0.2 0.1 193824 7004 ? Ss 17:07 0:02 /usr/lib/syste
root 2 0.0 0.0 0 0 ? S 17:07 0:00 [kthreadd]
root 4 0.0 0.0 0 0 ? S< 17:07 0:00 [kworker/0:0H]
root 6 0.0 0.0 0 0 ? S 17:07 0:00 [ksoftirqd/0]
root 7 0.0 0.0 0 0 ? S 17:07 0:00 [migration/0]
root 8 0.0 0.0 0 0 ? S 17:07 0:00 [rcu_bh]
root 9 0.0 0.0 0 0 ? S 17:07 0:00 [rcu_sched]
root 10 0.0 0.0 0 0 ? S< 17:07 0:00 [lru-add-drain
root 11 0.0 0.0 0 0 ? S 17:07 0:00 [watchdog/0]
root 12 0.0 0.0 0 0 ? S 17:07 0:00 [watchdog/1]
root 13 0.0 0.0 0 0 ? S 17:07 0:00 [migration/1]
root 14 0.0 0.0 0 0 ? S 17:07 0:00 [ksoftirqd/1]
root 16 0.0 0.0 0 0 ? S< 17:07 0:00 [kworker/1:0H]
root 17 0.0 0.0 0 0 ? S 17:07 0:00 [watchdog/2]
root 18 0.0 0.0 0 0 ? S 17:07 0:00 [migration/2]
root 19 0.0 0.0 0 0 ? S 17:07 0:00 [ksoftirqd/2]
root 21 0.0 0.0 0 0 ? S< 17:07 0:00 [kworker/2:0H]
root 22 0.0 0.0 0 0 ? S 17:07 0:00 [watchdog/3]
root 23 0.0 0.0 0 0 ? S 17:07 0:00 [migration/3]
root 24 0.0 0.0 0 0 ? S 17:07 0:00 [ksoftirqd/3]
root 26 0.0 0.0 0 0 ? S< 17:07 0:00 [kworker/3:0H]
root 28 0.0 0.0 0 0 ? S 17:07 0:00 [kdevtmpfs]
root 29 0.0 0.0 0 0 ? S< 17:07 0:00 [netns]
root 30 0.0 0.0 0 0 ? S 17:07 0:00 [khungtaskd]
root 31 0.0 0.0 0 0 ? S< 17:07 0:00 [writeback]
root 32 0.0 0.0 0 0 ? S< 17:07 0:00 [kintegrityd]
root 33 0.0 0.0 0 0 ? S< 17:07 0:00 [bioset]
root 34 0.0 0.0 0 0 ? S< 17:07 0:00 [bioset]
root 35 0.0 0.0 0 0 ? S< 17:07 0:00 [bioset]
root 36 0.0 0.0 0 0 ? S< 17:07 0:00 [kblockd]
root 37 0.0 0.0 0 0 ? S< 17:07 0:00 [md]
root 38 0.0 0.0 0 0 ? S< 17:07 0:00 [edac-poller]
root 39 0.0 0.0 0 0 ? S< 17:07 0:00 [watchdogd]
root 45 0.0 0.0 0 0 ? S 17:07 0:00 [kswapd0]
root 46 0.0 0.0 0 0 ? SN 17:07 0:00 [ksmd]
root 47 0.0 0.0 0 0 ? SN 17:07 0:00 [khugepaged]
root 48 0.0 0.0 0 0 ? S< 17:07 0:00 [crypto]
root 56 0.0 0.0 0 0 ? S< 17:07 0:00 [kthrotld]
root 57 0.0 0.0 0 0 ? S 17:07 0:00 [kworker/u256:
root 58 0.0 0.0 0 0 ? S< 17:07 0:00 [kmpath_rdacd]
root 59 0.0 0.0 0 0 ? S< 17:07 0:00 [kaluad]
root 60 0.0 0.0 0 0 ? S 17:07 0:00 [kworker/0:1]
root 61 0.0 0.0 0 0 ? S< 17:07 0:00 [kpsmoused]
root 62 0.0 0.0 0 0 ? S 17:07 0:00 [kworker/0:2]
root 63 0.0 0.0 0 0 ? S< 17:07 0:00 [ipv6_addrconf
root 64 0.0 0.0 0 0 ? R 17:07 0:00 [kworker/2:1]
root 77 0.0 0.0 0 0 ? S< 17:07 0:00 [deferwq]
root 114 0.0 0.0 0 0 ? S 17:07 0:00 [kauditd]
root 310 0.0 0.0 0 0 ? S< 17:07 0:00 [ata_sff]
root 311 0.0 0.0 0 0 ? S< 17:07 0:00 [mpt_poll_0]
root 312 0.0 0.0 0 0 ? S< 17:07 0:00 [mpt/0]
root 313 0.0 0.0 0 0 ? S< 17:07 0:00 [nfit]
root 314 0.0 0.0 0 0 ? S 17:07 0:00 [scsi_eh_0]
root 315 0.0 0.0 0 0 ? S< 17:07 0:00 [scsi_tmf_0]
root 316 0.0 0.0 0 0 ? S 17:07 0:00 [kworker/u256:
root 317 0.0 0.0 0 0 ? S 17:07 0:00 [scsi_eh_1]
root 318 0.0 0.0 0 0 ? S< 17:07 0:00 [scsi_tmf_1]
root 319 0.0 0.0 0 0 ? S 17:07 0:00 [scsi_eh_2]
root 320 0.0 0.0 0 0 ? S< 17:07 0:00 [scsi_tmf_2]
root 323 0.0 0.0 0 0 ? S 17:07 0:00 [irq/16-vmwgfx
root 324 0.0 0.0 0 0 ? S< 17:07 0:00 [ttm_swap]
root 358 0.0 0.0 0 0 ? S< 17:07 0:00 [kworker/3:1H]
root 399 0.0 0.0 0 0 ? S< 17:07 0:00 [kdmflush]
root 400 0.0 0.0 0 0 ? S< 17:07 0:00 [bioset]
root 411 0.0 0.0 0 0 ? S< 17:07 0:00 [kdmflush]
root 412 0.0 0.0 0 0 ? S< 17:07 0:00 [bioset]
root 425 0.0 0.0 0 0 ? S< 17:07 0:00 [bioset]
root 426 0.0 0.0 0 0 ? S< 17:07 0:00 [xfsalloc]
root 427 0.0 0.0 0 0 ? S< 17:07 0:00 [xfs_mru_cache
root 428 0.0 0.0 0 0 ? S< 17:07 0:00 [xfs-buf/dm-0]
root 429 0.0 0.0 0 0 ? S< 17:07 0:00 [xfs-data/dm-0
root 430 0.0 0.0 0 0 ? S< 17:07 0:00 [xfs-conv/dm-0
root 431 0.0 0.0 0 0 ? S< 17:07 0:00 [xfs-cil/dm-0]
root 432 0.0 0.0 0 0 ? S< 17:07 0:00 [xfs-reclaim/d
root 433 0.0 0.0 0 0 ? S< 17:07 0:00 [xfs-log/dm-0]
root 434 0.0 0.0 0 0 ? S< 17:07 0:00 [xfs-eofblocks
root 435 0.0 0.0 0 0 ? S 17:07 0:01 [xfsaild/dm-0]
root 436 0.0 0.0 0 0 ? S< 17:07 0:00 [kworker/2:1H]
root 520 0.0 0.1 39440 3952 ? Ss 17:07 0:00 /usr/lib/syste
root 545 0.0 0.1 201108 5492 ? Ss 17:07 0:00 /usr/sbin/lvme
root 549 0.0 0.0 0 0 ? S 17:07 0:00 [kworker/1:2]
root 559 0.1 0.1 48896 5332 ? Ss 17:07 0:01 /usr/lib/syste
root 594 0.0 0.0 0 0 ? S< 17:07 0:00 [kworker/u257:
root 595 0.0 0.0 0 0 ? S< 17:07 0:00 [hci0]
root 597 0.0 0.0 0 0 ? S< 17:07 0:00 [hci0]
root 599 0.0 0.0 0 0 ? S< 17:07 0:00 [kworker/u257:
root 668 0.0 0.0 0 0 ? S< 17:07 0:00 [xfs-buf/sda1]
root 669 0.0 0.0 0 0 ? S< 17:07 0:00 [xfs-data/sda1
root 670 0.0 0.0 0 0 ? S< 17:07 0:00 [xfs-conv/sda1
root 671 0.0 0.0 0 0 ? S< 17:07 0:00 [xfs-cil/sda1]
root 672 0.0 0.0 0 0 ? S< 17:07 0:00 [xfs-reclaim/s
root 673 0.0 0.0 0 0 ? S< 17:07 0:00 [xfs-log/sda1]
root 674 0.0 0.0 0 0 ? S< 17:07 0:00 [xfs-eofblocks
root 676 0.0 0.0 0 0 ? S 17:07 0:00 [xfsaild/sda1]
root 686 0.0 0.0 0 0 ? S< 17:07 0:00 [kworker/0:1H]
root 719 0.0 0.0 55532 852 ? S<sl 17:07 0:00 /sbin/auditd
root 721 0.0 0.0 84556 904 ? S<sl 17:07 0:00 /sbin/audispd
root 723 0.0 0.0 55620 1384 ? S< 17:07 0:00 /usr/sbin/sedi
root 725 0.0 0.0 0 0 ? S< 17:07 0:00 [rpciod]
root 726 0.0 0.0 0 0 ? S< 17:07 0:00 [xprtiod]
dbus 748 0.0 0.1 70160 4168 ? Ssl 17:07 0:01 /usr/bin/dbus-
rpc 749 0.0 0.0 69256 1012 ? Ss 17:07 0:00 /sbin/rpcbind
root 754 0.0 0.0 57504 2820 ? Ss 17:07 0:00 /usr/libexec/b
libstor+ 757 0.0 0.0 8580 816 ? Ss 17:07 0:00 /usr/bin/lsmd
root 758 0.0 0.0 52792 2732 ? Ss 17:07 0:00 /usr/sbin/smar
root 760 0.0 0.2 479156 9092 ? Ssl 17:07 0:00 /usr/sbin/Netw
root 764 0.0 0.0 90568 3180 ? Ss 17:07 0:00 /sbin/rngd -f
root 766 0.0 0.1 451380 6524 ? Ssl 17:07 0:00 /usr/libexec/u
root 767 0.0 0.1 430628 7552 ? Ssl 17:07 0:00 /usr/sbin/Mode
polkitd 768 0.0 0.4 616564 17088 ? Ssl 17:07 0:01 /usr/lib/polki
root 769 0.0 0.0 201428 1268 ? Ssl 17:07 0:00 /usr/sbin/gssp
root 770 0.0 0.1 168304 5176 ? Ss 17:07 0:00 /usr/bin/VGAut
root 774 0.1 0.1 361100 5296 ? Ssl 17:07 0:02 /usr/bin/vmtoo
chrony 777 0.0 0.0 117808 1644 ? S 17:07 0:00 /usr/sbin/chro
avahi 778 0.0 0.0 62268 2284 ? Ss 17:07 0:00 avahi-daemon:
root 779 0.0 0.0 26460 1836 ? Ss 17:07 0:00 /usr/lib/syste
root 781 0.0 0.0 16900 1380 ? SNs 17:07 0:00 /usr/sbin/alsa
root 783 0.0 0.1 396664 4228 ? Ssl 17:07 0:00 /usr/libexec/a
root 787 0.0 0.0 21688 1300 ? Ss 17:07 0:00 /usr/sbin/irqb
rtkit 793 0.0 0.0 198784 1776 ? SNsl 17:07 0:00 /usr/libexec/r
root 794 0.0 0.1 228400 5852 ? Ss 17:07 0:00 /usr/sbin/abrt
avahi 797 0.0 0.0 62140 396 ? S 17:07 0:00 avahi-daemon:
root 802 0.0 0.1 225916 4888 ? Ss 17:07 0:00 /usr/bin/abrt-
root 816 0.0 0.1 225916 4896 ? Ss 17:07 0:00 /usr/bin/abrt-
root 866 0.0 0.0 115408 940 ? S 17:07 0:00 /bin/bash /usr
root 911 0.0 0.0 0 0 ? S< 17:07 0:00 [kworker/1:1H]
root 1097 0.0 0.5 574288 19544 ? Ssl 17:07 0:00 /usr/bin/pytho
root 1098 0.0 0.1 112900 4300 ? Ss 17:07 0:00 /usr/sbin/sshd
root 1101 0.0 0.1 198072 4280 ? Ss 17:07 0:00 /usr/sbin/cups
root 1103 0.0 0.1 216400 4512 ? Ssl 17:07 0:00 /usr/sbin/rsys
root 1107 0.0 0.4 1007252 18788 ? Ssl 17:07 0:00 /usr/sbin/libv
root 1118 0.0 0.1 481572 4792 ? Ssl 17:07 0:00 /usr/sbin/gdm
root 1119 0.0 0.0 25908 924 ? Ss 17:07 0:00 /usr/sbin/atd
root 1120 0.0 0.0 126388 1680 ? Ss 17:07 0:00 /usr/sbin/cron
root 1169 0.9 1.3 361524 53356 tty1 Ssl+ 17:07 0:11 /usr/bin/X :0
root 1401 0.0 0.0 91792 2156 ? Ss 17:07 0:00 /usr/libexec/p
postfix 1413 0.0 0.1 91896 4088 ? S 17:07 0:00 pickup -l -t u
postfix 1414 0.0 0.1 91964 4104 ? S 17:07 0:00 qmgr -l -t uni
nobody 1597 0.0 0.0 53876 1084 ? S 17:07 0:00 /usr/sbin/dnsm
root 1599 0.0 0.0 53848 380 ? S 17:07 0:00 /usr/sbin/dnsm
root 1845 0.0 0.1 430480 7304 ? Ssl 17:07 0:00 /usr/libexec/u
root 1920 0.0 0.1 398900 4176 ? Ssl 17:07 0:00 /usr/libexec/b
root 1929 0.0 0.0 78660 3340 ? Ss 17:07 0:00 /usr/sbin/wpa_
root 1930 0.0 0.2 412832 7904 ? Ssl 17:07 0:00 /usr/libexec/p
colord 1998 0.0 0.1 419688 6388 ? Ssl 17:07 0:00 /usr/libexec/c
root 2078 0.0 0.1 388108 7352 ? Sl 17:07 0:00 gdm-session-wo
defend 2108 0.0 0.1 317660 4080 ? Sl 17:08 0:00 /usr/bin/gnome
defend 2124 0.0 0.2 745472 11508 ? Ssl 17:08 0:00 /usr/libexec/g
defend 2133 0.0 0.0 59016 960 ? S 17:08 0:00 dbus-launch --
defend 2134 0.0 0.0 69256 2676 ? Ssl 17:08 0:00 /usr/bin/dbus-
defend 2165 0.0 0.1 286120 3988 ? Sl 17:08 0:00 /usr/libexec/i
defend 2169 0.0 0.1 388932 6180 ? Sl 17:08 0:00 /usr/libexec/g
defend 2174 0.0 0.1 417828 5240 ? Sl 17:08 0:00 /usr/libexec/g
defend 2256 0.0 0.0 72472 772 ? Ss 17:08 0:00 /usr/bin/ssh-a
defend 2275 0.0 0.0 346772 3696 ? Sl 17:08 0:00 /usr/libexec/a
defend 2280 0.0 0.0 68392 2464 ? Sl 17:08 0:00 /usr/bin/dbus-
defend 2283 0.0 0.1 233104 3952 ? Sl 17:08 0:00 /usr/libexec/a
defend 2310 3.1 5.9 3735340 230332 ? Sl 17:08 0:37 /usr/bin/gnome
defend 2326 0.0 0.1 1285572 7372 ? S<l 17:08 0:00 /usr/bin/pulse
root 2346 0.0 0.0 0 0 ? S< 17:08 0:00 [krfcommd]
defend 2351 0.0 0.1 453320 7588 ? Sl 17:08 0:00 ibus-daemon --
defend 2355 0.0 0.0 376184 3728 ? Sl 17:08 0:00 /usr/libexec/i
defend 2357 0.0 0.3 465100 13844 ? Sl 17:08 0:00 /usr/libexec/i
defend 2361 0.0 0.1 376152 5496 ? Sl 17:08 0:00 /usr/libexec/i
defend 2371 0.0 0.0 364920 2888 ? Sl 17:08 0:00 /usr/libexec/x
defend 2376 0.0 0.3 650012 13760 ? Sl 17:08 0:00 /usr/libexec/g
defend 2381 0.0 0.4 764664 18560 ? Sl 17:08 0:00 /usr/libexec/e
defend 2389 0.0 0.7 903008 27108 ? Sl 17:08 0:00 /usr/libexec/g
geoclue 2391 0.0 0.1 429136 5740 ? Ssl 17:08 0:00 /usr/libexec/g
defend 2403 0.0 0.1 411596 7632 ? Sl 17:08 0:00 /usr/libexec/m
defend 2412 0.0 0.2 527844 8192 ? Sl 17:08 0:00 /usr/libexec/g
defend 2418 0.0 0.1 416088 5380 ? Sl 17:08 0:00 /usr/libexec/g
defend 2426 0.0 0.1 478704 4532 ? Sl 17:08 0:00 /usr/libexec/g
defend 2433 0.0 0.0 400852 3624 ? Sl 17:08 0:00 /usr/libexec/g
defend 2440 0.0 0.0 371744 3388 ? Sl 17:08 0:00 /usr/libexec/g
defend 2452 0.0 0.0 391760 3376 ? Sl 17:08 0:00 /usr/libexec/g
defend 2481 0.0 0.3 640140 15040 ? Sl 17:08 0:00 /usr/libexec/g
defend 2482 0.0 0.1 439420 5584 ? Sl 17:08 0:00 /usr/libexec/g
defend 2485 0.0 0.0 539048 3504 ? Sl 17:08 0:00 /usr/libexec/g
defend 2488 0.0 0.0 374356 2976 ? Sl 17:08 0:00 /usr/libexec/g
defend 2490 0.0 0.1 559304 5224 ? Sl 17:08 0:00 /usr/libexec/g
defend 2495 0.0 0.1 455200 4908 ? Sl 17:08 0:00 /usr/libexec/g
defend 2496 0.0 0.3 615508 15104 ? Sl 17:08 0:00 /usr/libexec/g
defend 2498 0.0 0.4 549576 18452 ? Sl 17:08 0:00 /usr/libexec/g
defend 2504 0.0 0.1 472432 5180 ? Sl 17:08 0:00 /usr/libexec/g
defend 2507 0.0 0.0 457028 3564 ? Sl 17:08 0:00 /usr/libexec/g
defend 2518 0.0 0.1 376696 5476 ? Sl 17:08 0:00 /usr/libexec/g
defend 2520 0.0 0.3 464752 13648 ? Sl 17:08 0:00 /usr/libexec/g
defend 2522 0.0 0.3 779928 14848 ? Sl 17:08 0:00 /usr/libexec/g
defend 2523 0.0 0.2 541740 8524 ? Sl 17:08 0:00 /usr/libexec/g
defend 2529 0.0 0.1 463588 4056 ? Sl 17:08 0:00 /usr/libexec/g
defend 2533 0.0 0.3 614508 13872 ? Sl 17:08 0:00 /usr/libexec/g
defend 2540 0.0 0.4 1012152 15632 ? Sl 17:08 0:00 /usr/libexec/g
defend 2541 0.0 0.0 376700 3416 ? Sl 17:08 0:00 /usr/libexec/g
defend 2569 0.0 0.2 608784 7784 ? Sl 17:08 0:00 /usr/libexec/g
defend 2589 0.0 0.8 1106504 32088 ? Sl 17:08 0:01 nautilus-deskt
defend 2595 0.0 0.1 465040 6764 ? Sl 17:08 0:00 /usr/libexec/g
defend 2600 0.0 0.5 916904 20812 ? Sl 17:08 0:00 /usr/libexec/e
defend 2622 0.0 0.4 1200856 18408 ? Sl 17:08 0:00 /usr/libexec/e
defend 2623 0.1 1.7 1385352 65792 ? Sl 17:08 0:01 /usr/bin/gnome
defend 2625 0.0 0.2 310188 9872 ? S 17:08 0:00 /usr/bin/seapp
defend 2633 0.2 0.7 613512 30360 ? Sl 17:08 0:02 /usr/bin/vmtoo
defend 2638 0.0 0.4 530304 16860 ? Sl 17:08 0:00 abrt-applet
defend 2641 0.0 0.0 273068 3272 ? Sl 17:08 0:00 /usr/libexec/g
defend 2650 0.0 0.0 187400 2864 ? Sl 17:08 0:00 /usr/libexec/d
defend 2663 0.0 0.3 661008 13424 ? SNl 17:08 0:00 /usr/libexec/t
defend 2669 0.0 0.4 903620 18224 ? Sl 17:08 0:00 /usr/libexec/e
defend 2672 0.0 0.3 706416 12888 ? SNl 17:08 0:00 /usr/libexec/t
defend 2680 0.0 0.3 649368 11616 ? SNl 17:08 0:00 /usr/libexec/t
defend 2694 0.0 0.2 562188 10132 ? SNl 17:08 0:00 /usr/libexec/t
defend 2710 0.0 0.0 302516 3604 ? Sl 17:08 0:00 /usr/libexec/i
defend 2719 0.0 0.3 525616 12864 ? Sl 17:08 0:00 /usr/libexec/t
defend 2723 0.0 0.6 1188112 24932 ? Sl 17:08 0:00 /usr/libexec/e
defend 2821 0.0 0.0 318048 3392 ? Sl 17:08 0:00 /usr/libexec/g
defend 2843 0.0 0.2 536280 8212 ? Sl 17:08 0:00 /usr/libexec/g
root 2849 0.0 0.2 586544 8640 ? Ssl 17:08 0:00 /usr/libexec/f
root 3128 0.0 0.0 0 0 ? S 17:12 0:00 [kworker/3:0]
defend 3160 0.2 0.7 688192 28580 ? Dl 17:13 0:01 /usr/libexec/g
defend 3167 0.0 0.0 8536 720 ? S 17:13 0:00 gnome-pty-help
defend 3168 0.0 0.0 116440 2860 pts/0 Ss 17:13 0:00 bash
root 3211 0.0 0.1 232236 4412 pts/0 S 17:13 0:00 su
root 3220 0.0 0.0 116556 3120 pts/0 S 17:13 0:00 bash
root 3310 0.0 0.0 0 0 ? S 17:17 0:00 [kworker/3:2]
root 3342 0.0 0.0 0 0 ? S 17:20 0:00 [kworker/2:0]
root 3377 0.0 0.0 0 0 ? S 17:22 0:00 [kworker/1:1]
root 3386 0.0 0.0 0 0 ? S 17:23 0:00 [kworker/3:1]
root 3426 0.0 0.0 0 0 ? S 17:27 0:00 [kworker/1:0]
root 3434 0.0 0.0 108052 356 ? S 17:27 0:00 sleep 60
root 3436 0.0 0.0 157532 1916 pts/0 R+ 17:27 0:00 ps -aux
也没有看到可疑的进程
等等,攻击者已经登录过root用户,说明获取了root用户权限并且可以实现权限维持,第三个flag应该不会在计划任务中,我这时想到了刚才查看passwd文件时,最后一个用户是redis用户,说明该机器上存在redis服务
查看一下redis配置文件(/etc/redis.conf):
发现第三个flag:flag{P@ssW0rd_redis}
总结一下:
1、192.168.75.129
2、flag{thisismybaby}和flag{kfcvme50}和flag{P@ssW0rd_redis}
成功攻克该靶机!
后面了解到还有更简单的方法,利用一个工具(whoamifuck.sh):
https://github.com/enomothem/Whoamifuck/blob/v6.3.0/whoamifuck.sh
成功启动:
查看登录信息:
./whoamifuck.sh -l
发现攻击者IP:192.168.75.129
查看系统可能存在的漏洞:
./whoamifuck.sh -r
发现/ect/redis.conf配置文件有问题,接下来步骤就基本上一致了
也可以查看安全日志(/var/log/secure):
发现攻击者IP,并且是用ssh登录,那后面的步骤也大差不大