应急响应-Linux(1)

1. 黑客的IP地址

   思路： 一般系统中马之后会有进程连接黑客的主机，可以使用netstat -anpt查看下当前进程的连接，此处查看到没有后 ，可以从系统服务开始查找，系统的服务日志一般都会保存相关访问信息，主要是分析日志

   

   • SSH

     首先从ssh日志开始排查，因为这个服务比较重要 ，日志位置**/var/log/secure**，通过关键字failed可以看到服务报错，可能是黑客在爆破密码，从日志可以获取黑客IP

     192.168.75.129

     

2. 遗留下的三个flag

   这题我试了好几个思路，结果是我把题想的太难了… ，第一个flag可以通过上题的日志分析获取

   • flag1

     flag{P@ssW0rd_redis}

     思路：通过日志可以看到ssh连上后 有vim的操作，修改了/etc/redis.conf，查看文件发现flag

     
     

   • flag2

     flag{thisismybaby}

     通过root用户目录下的history文件查看该用户之前执行过的指令，一下就看到了第二个flag

     

   • flag3

     flag{kfcvme50}

     在history记录中看到有修改rc.local文件，就去看了一眼，没想到真有flag…

     

总结： 一开始还想着是不是计划任务，有webshell什么的，通过查看自身开放端口、passwd中是否有新用户、近期修改过的文件以及目录结构确定该台机器有哪些服务，然后一一查找获取到flag值