玄机第一章 应急响应- Linux入侵排查

玄机

0x01 前言

接着打,而且这个和查杀还挺像

0x02 question

1
2
3
scp -r root@161.189.81.182:/var/www/html ~/桌面/test

linuxruqin

先把文件下载下来再说,放D盾里面扫描看看

1

首先看到1.php,然后shell.php

1

1
5d41402abc4b2a76b9719d911017c592

1

1

一口气拿到三个flag

1
2
3
4
5
flag{1}

flag{hello}

flag{index.php}

这个写入不死马很明显,一个写入文件,然后拿黑客IP的话
直接执行木马文件

1
2
3
4
5
6
7
8
9
10
11
12
13
14
chmod +x ./shell\(1\).elf

./shell\(1\).elf &

netstat -antlp
# 查看链接情况
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name    
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      482/sshd            
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN      554/mysqld          
tcp        0    404 10.0.10.2:22            117.175.132.180:64086   ESTABLISHED 835/sshd: root@pts/ 
tcp        0      1 10.0.10.2:46774         10.11.55.21:3333        SYN_SENT    934/./shell(1).elf  
tcp6       0      0 :::80                   :::*                    LISTEN      542/apache2         
tcp6       0      0 :::22                   :::*                    LISTEN      482/sshd 
1
2
flag{10.11.55.21}
flag{3333}

就一个运行文件的命令为了避免转义加了\,没啥可说的,但是这种直接执行shell太危险了,所以我们可以使用沙箱

1
https://www.virustotal.com/gui/home/upload

1

还是挺好用的

0x03 小结

还行,感觉有点查杀的感觉,但是更倾向于是在进行溯源的信息收集