记一次应急响应练习(Linux)

Linux：

1. 请提交攻击者的IP地址
   答： 192.168.31.132

   思路： 通过查看历史命令和开放的8080端口看到这台主机上运行的是Tomcat服务。并且在历史命令中看到了Tomcat的安装路径。那么就算是找到了日志的查看点了，去/opt/tomcat/logs里面查看日志。日志里面就只有192.168.31.132这么一个IP地址，并且通过这个IP地址访问的路径追踪到了后门文件。直接就是实锤

   ​​

2.请提交攻击者使用的操作系统

答： Windows NT 10.0; Win64; x64

思路：分析日志的UA头即可得到答案，很明显

​​

3. 请提交攻击者进入网站后台的密码

答： Juneha

思路： 网站后台的账号密码应该都是放在数据库中有保存的，那么就去找数据库的连接账号；在一开始翻看历史命令的时候就看到了mysql连接的账号和密码，直接连接数据库去查看就行了。拿到账号密码后自己访问一下网站后台试试账号密码是否正确。

​​

‍

​​

一个是正经的管理员吧看头像就像，另一个因该是攻击者留下的影子账户用做权限维持的。

​​​​

‍

4.请提交攻击者首次攻击成功的时间，格式：DD/MM/YY:hh:mm:ss

答： 2023/5/08:05:02:16

思路如图：

​​​​​​

​​

5.请提交攻击者上传的恶意文件名（绝对路径）

答： /opt/tomcat/webapps/ROOT/userImg/Juneha.jsp

思路： 日志中发现了后门文件了，直接去网站目录下找他就可以了。

​​

6. 请提交攻击者写入的恶意后门文件的连接密码
答： pass

思路： 找到路径 查看文件内容。要熟悉后门文件样本。跟哥斯拉生成的java，jsp类型的后门一样。密码就是pass了

​​

7.请提交攻击者创建的用户账户名称
答： Juneha

思路： 在home目录下看到了Juneha。系统一共俩账户，一个root一Juneha。总不能是root吧。而且通过查看历史命令也发现了证据

8. 请提交恶意进程的名称
答：.t0mcat

​​

思路： 首先它是由攻击者创建的账户所启动的程序还隐藏的。通过计时任务也发现了这一可执行程序。基本实锤的。我把文件重命名成xx后，放到物理机桌面一查就查出来了。

​​

​​

9. 请提交恶意进程对外连接的IP地址

答： 114.114.114.114

**思路： ** 查看网络连接信息就好了

​​

10. 请分析攻击者的入侵行为与过程

    1.在网站上注册了一个账户。

    2.在网站的个人信息页面上传了后门获取shell

    3.留下了影子账户、定时的后门程序、一些列操作来维持权限

    ‍