网络安全应急响应
任务环境说明:
ü 服务器场景:Server2228(开放链接)
ü 用户名:root,密码:p@ssw0rd123
1. 找出被黑客修改的系统别名,并将倒数第二个别名作为Flag值提交;
使用用户名和密码登录系统,如下图
在 Linux 中,可以使用 “alias” 命令查看当前系统中定义的所有别名
FLAG:ss
2.找出系统中被植入的后门用户删除掉,并将后门用户的账号作为Flag值提交(多个用户名之间以英文逗号分割,如:admin,root);
Cat /etc/passwd #查看/etc/passwd文件是否存在可疑的用户
FLAG:sclipicibosu
3.找出黑客在admin用户家目录中添加的ssh后门,将后门的写入时间作为Flag值(提交的时间格式为:2022-01-12 08:08:18)
那么我们先进入到/home/admin目录下,这里用ls -al命令才可以查看出这个文件,如果使用ls是查看不到的
然后我们进入到这个目录当中,然后使用stat *命令
# stat 命令在 Linux 中用于查询和显示文件的详细状态。执行 “stat *” 命令将显示当前目录下的每个文件或目录的详细信息
FLAG:2022-09-14 15:04:47
4.找出黑客篡改过的环境变量文件并还原,将文件的md5值作为Flag值提交;
我们可以进入到/home/admin目录下使用ls -al列出所有文件来发掘黑客篡改过的环境然后用md5sum将文件加密
#在 Linux 系统中,.bashrc 文件是 bash shell 运行时所读取并执行的一个脚本文件。该文件通常位于用户主目录下,用于在启动 Bash 时执行指定的命令和设置环境变量等配置。当你登录时,.bashrc 文件将被读取并加载到一个 bash shell 进程中,包括设置 PS1 环境变量、设置别名等命令
使用md5sum工具加密这个文件
FLAG:2f8222b4f275c4f18e69c34f66d2631b
5.找出黑客修改了bin目录下的某个文件,将该文件的格式作为Flag值提交;
根据前几题,我们得知一个.ssh和.bashrc文件是被黑客篡改的,然后.bashrc是一个程序,.ssh才是一个目录,于是我们使用stat命令查看.ssh最近被修改的时间。
基本可以确定就是这个.ssh,然后我们直接file查看bin目录下的可执行ssh大文件格式
#在 Linux 中,可以使用命令 “file” 查看文件的格式信息
FLAG:ASCII text
6.找出黑客植入系统中的挖矿病毒,将矿池的钱包地址作为Flag值(提交格式为:0xa1d1fadd4fa30987b7fe4f8721b022f4b4ffc9f8)提交。
这一个任务其实就是应急响应,让去学会linux应急的命令,然后去系统里面去溯源去找FLAG,主要耗费的是时间。
FLAG:0xd281ffdd4fb30987b7fe4f8721b022f4b4ffc9f8