提交攻击者的IP地址 192.168.1.7
这个直接awk过滤一下ip次数,这个ip多得离谱,在日志里面也发现了它的恶意行为,后门,反弹shell
识别攻击者使用的操作系统 Linux
找出攻击者资产收集所使用的平台 shodan
提交攻击者目录扫描所使用的工具名称 DIRSEARCH
提交攻击者首次攻击成功的时间,格式:DD /MM/YY:HH:MM:SS 2022:15:17:54
我认为的
找到攻击者写入的恶意后门文件,提交文件名(完整路径)和后门密码
/data/avatar/1.php 2022
这个利用的一个phpmyadmin的前端命令执行漏洞,写入了一个shell,
他就把shell写入到这个里面,如何上传一个shell,输出路径为data/avatar/1.php
这个是因为它在这个网站直接使用/proc/self/cwd/1.php映射到当前工作路径即可,然后就通过了这个文件上传了一个shell上去,所以这个文件里面有恶意代码,
后门密码2022
找到攻击者隐藏在正常web应用代码中的恶意代码,提交该文件名(完整路径)
proc/self/cwd/1.php
识别系统中存在的恶意程序进程,提交进程名
prism
这个是因为他日志里面执行了一个反弹shell,之后就要打开虚拟机看了
因为题目问的进程,就查看进程
就他,因为是root用户,就在root下面找
执行的反弹shell
