第二章日志分析-redis应急响应
1、通过本地 PC SSH到服务器并且分析黑客攻击成功的 IP 为多少,将黑客 IP 作为 FLAG 提交;
ssh去到/var/log下面这里题目提示我们是redis我们打开redis.log
cat redis.log| less -N
可以看到这个前面几个ip大量发送请求并且被服务端拒绝,从这里开始就成功链接上了
flag{192.168.100.20}
2、过本地 PC SSH到服务器并且分析黑客第一次上传的恶意文件,将黑客上传的恶意文件里面的 FLAG 提交;
继续分析日志,在这里发现一个可以文件
使用find 命令查找这个文件
find / -name 'exp.so'
在根目录找到了这个文件,用strings提出里面的flag
flag{XJ_78f012d7-42fc-49a8-8a8c-e74c87ea109b}
3、通过本地 PC SSH到服务器并且分析黑客反弹 shell 的IP 为多少,将反弹 shell 的IP 作为 FLAG 提交;
可以从系统日志/var/log/syslog.1 发现。
/var/log/syslog是系统日志(system logger)当前文件,记录系统级事件(内核消息、服务启动/停止、cron、网络事件、很多守护进程信息等)。
这里记录了很多反连接操作 并且从crontab -l 也能看出
flag{192.168.100.20}
4、通过本地 PC SSH到服务器并且溯源分析黑客的用户名,并且找到黑客使用的工具里的关键字符串(flag{黑客的用户-关键字符串} 注关键字符串 xxx-xxx-xxx)。将用户名和关键字符串作为 FLAG提交
SSH提供两种登录验证方式,一种是口令验证也就是账号密码登录,另一种是密钥验证。当redis以root身份运行,可以给root账户写入ssh公钥权限,直接通过ssh登录服务器,在攻击机中申生成ssh公钥和私钥,密码设为空
这里我们去.ssh目录中会存在authorized_keys
可以看到在文件的末尾留下来了用户名 xj-test-user去浏览器搜一搜看一下跳出来一个github网址
https://github.com/xj-test-user/redis-rogue-getshell
flag{xj-test-user-wow-you-find-flag}
5、通过本地 PC SSH到服务器并且分析黑客篡改的命令,将黑客篡改的命令里面的关键字符串作为 FLAG 提交;
这里我们去 /usr/bin
/usr/bin是 Linux 系统中放置大多数用户命令(可执行程序)的目录之一;这些程序通常在普通用户的PATH中,直接运行命令时会优先在这些目录查找。攻击者常利用被替换或新增的二进制文件来持久化后门、拦截/记录凭证、反弹 shell 或隐藏恶意行为。把恶意程序放在
/usr/bin能让它像系统命令一样被执行(例如替换ssh,bash,ls,sudo等)。许多自动化脚本或服务也会直接调用
/usr/bin/xxx,因此放后门在这里更容易被触发。即便攻击者放在
/tmp、/dev/shm等目录,常会再在/usr/bin做软链接或替换常用命令以便长期存在与方便调用。
ls -al 发现异常,出现了两个ps很明显这是黑客弄的·
cat ps
flag{c195i2923381905517d818e313792d196}