应急响应练习1

最新推荐文章于 2026-04-04 16:01:08 发布
原创 最新推荐文章于 2026-04-04 16:01:08 发布 · 7.4k 阅读 · 72
标签
#网络 #服务器 #安全 #应急响应
本文围绕Linux web服务器的应急响应展开,通过分析web日志,确定攻击者IP为192.168.1.7,使用的操作系统是Linux x86_64,资产收集平台为shodan,目录扫描工具可能是御剑或dirsearch。还找出首次攻击时间、恶意后门文件、隐藏恶意代码文件、恶意程序进程及文件,并分析了入侵行为与过程。

目录

1. 提交攻击者的IP地址

2. 识别攻击者使用的操作系统

3. 找出攻击者资产收集所使用的平台

4. 提交攻击者目录扫描所使用的工具名称

5. 提交攻击者首次攻击成功的时间,格式:DD /MM/YY:HH:MM:SS

6. 找到攻击者写入的恶意后门文件,提交文件名(完整路径)和后门密码

7. 找到攻击者隐藏在正常web应用代码中的恶意代码,提交该文件名(完整路径)

8. 识别系统中存在的恶意程序进程,提交进程名

9. 找到文件系统中的恶意程序文件并提交文件名(完整路径)

10. 请分析攻击者的入侵行为与过程

环境:Linux webserver 5.4.0-109-generic

1. 提交攻击者的IP地址

linux应急响应需要知道的,黑客要想进服务器或者说是内网,那一定先是从web端外网下手

所以这里我先查看web日志查看黑客进行了什么操作

网站日志一般在/var/log/apache2/access.log

这里有access.log和access.log1一个一个看

access.log没有数据access.log1有数据

数据很杂这样可读性太低了,  筛选出所需的来看

这里筛选出GET传参的数据

cat /var/log/apache2/access.log.1 | grep 'GET'

这里能看到黑客对网站的目录扫描

黑客ip:  192.168.1.7

2. 识别攻击者使用的操作系统

这里继续分析web日志

单独筛选出黑客ip

cat /var/log/apache2/access.log.1 | grep '192.168.1.7'

黑客使用的操作系统:  Linux x86_64

3. 找出攻击者资产收集所使用的平台

这里要靠经验,  要是没有进行过web渗透可能不知道什么是资产收集

一般资产收集平台(shodan   fofa)

这里还把目录扫描过滤掉了,  因为太多了会把黑恶的正常攻击挤上去

cat /var/log/apache2/access.log.1 | grep '192.168.1.7' | grep 'Mozilla/5.0'

因为目录扫描使用的是大量的head请求,  所以没有user-agent,  我们只要过滤出有user-agent的数据就行

资产收集平台:  shodan

最低0.47元/天 解锁文章
macos机器应急响应1
08-08
macos机器应急响应1
信息安全——应急响应
JJH2724719395的博客
10-08 625
发现两条不正常的日志,UA为python-requests,说明是python脚本,紧跟着就是一个webshell,执行了id和whoami命令,说明攻击成功的时间就是这两条python脚本访问的时间,简单观察可以看出执行了文件上传的操作(此处漏洞为phpmywind最近的RCE漏洞,漏洞编号:CNVD-2022-24937),因此本题答案:24/Apr/2022:15:25:53。大量的并发连接,且访问资源均返回404,且UA不正常,从这里可以得到本题答案,攻击者IP地址192.168.1.7。
第一部分 网络安全事件响应
m0_45155797的博客
12-16 1583
A集团的WebServer服务器被黑客入侵,该服务器的Web应用系统被上传恶意软件,系统文件被恶意软件破坏,您的团队需要帮助该公司追踪此网络攻击的来源,在服务器上进行全面的检查,包括日志信息、进程信息、系统文件、恶意文件等,从而分析黑客的攻击行为,发现系统中的漏洞,并对发现的漏洞进行修复。
应急响应练习2
whale_waves的博客
11-13 4022
1. 提交攻击者ip与系统版本 2. 攻击者通过某个组件漏洞获得服务器权限,提交该组件的名称 3. 提交攻击者首次攻击成功的时间 4. 提交攻击者上传的webshell文件绝对路径 5. 提交攻击者使用的webshell管理工具 6. 攻击者进一步留下的免杀的webshell在网站中,提交该shell的原文内容 7. 攻击者修改了某文件,导致webshell删除后,攻击者仍然拥有服务器权限,提交该文件的绝对路径 8. 提交网站服务连接数据库使用的数据库账号和密码 9.
应急响应靶场练习-Web1
m0_74631795的博客
03-17 1029
小李在值守的过程中,发现有CPU占用飙升,出于胆子小,就立刻将服务器关机,这是他的服务器系统,你找出以下内容,并作为通关条件:1.攻击者的shell密码2.攻击者IP地址3.攻击者的隐藏账户名称4.攻击者挖矿程序的矿池域名用户:密码。
应急响应靶场练习-web1
weixin_71228046的博客
04-15 442
在Apache中找到日志文件,发现攻击者IP地址192.168.126.1。用户:administrator 密码Zgsf@admin.com。运行后发现非常卡,cpu飙升,应该是挖矿程序。下载pyinstxtractor进行反编译。该图标为pyinstaller。使用pyc反编译工具,得到源码。4.攻击者挖矿程序的矿池域名。得到攻击者挖矿程序的矿池域名。1.攻击者的shell密码。3.攻击者的隐藏账户名称。2.攻击者IP地址a。
应急响应练习靶机1-web1
2401_84082289的博客
09-04 385
它的原理是将Python脚本及其依赖的库、资源文件等打包成一个单独的可执行文件,使得在其他机器上运行时不需要安装Python解释器和相关库,即可直接运行。3、查看是否有恶意用户登录进来,且有程序,运行后CPU飙升,判为挖矿程序,进行分析,该图标为pyinstaller打包,使用pyinstxtaractor进行反编译。2、查看日志情况,发现弱密码爆破,用Window日志一键分析进行查看远程桌面登录成功日志。4、反编译后得到pyc文件,使用在线pyc反编译工具,得到源码。
应急响应靶机练习-Web1
最新发布
yiduiguwen的专栏
04-04 283
这是一台知攻善防实验室的应急响应靶机,方便大家练习一下应急响应的流程和操作。前景需要:小李在值守的过程中,发现有CPU占用飙升,出于胆子小,就立刻将服务器关机,这是他的服务器系统,你找出以下内容,并作为通关条件:1.攻击者的shell密码2.攻击者IP地址3.攻击者的隐藏账户名称4.攻击者挖矿程序的矿池域名用户:密码本人尝试复现了攻击过程。
Linux 应急响应靶场练习 1
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
08-02 828
靶场在知攻善防实验室公众号中可以获取小王急匆匆地找到小张,小王说"李哥,我dev服务器被黑了",快救救我!!挑战内容:(1)黑客的IP地址(2)遗留下的三个flag。
信安大赛-应急响应
WTT001的博客
01-16 1815
1提交攻击者IP地址2识别攻击者使用的操作系统3找出攻击者资产收集所使用的平台4提交攻击者目录扫描所使用的工具名称5提交攻击者首次攻击成功的时间,格式:DD /MM/YY:HH:MM:SS6找到攻击者写入的恶意后门文件,提交文件名(完整路径)和后门密码7找到攻击者隐藏在正常web应用代码中的恶意代码,提交该文件名(完整路径)8识别系统中存在的恶意程序进程,提交进程名9找到文件系统中的恶意程序文件并提交文件名(完整路径)10简要描述该恶意文件的行为root。
bugku 网络安全事件应急响应
qq274575499的博客
05-23 2227
X集团的WebServer服务器遭到黑客入侵,该服务器的Web应用系统被上传恶意软件,系统文件被恶意软件破坏,您的团队需要帮助该公司追踪此网络攻击的来源,在服务器上进行全面的检查,包括日志信息、进程信息、系统文件和恶意文件等。通过分析黑客的攻击行为,我们将发现系统中的漏洞,并对其进行修复。
Linux 内核
weixin_45939263的博客
05-22 1389
内核源码所在的位置:/usr/src。
信息安全管理与评估赛题解析-应急响应(含环境)
Brucye
02-25 1973
链接:https://pan.baidu.com/s/1u6AT4qle5VdSZ2CTqXECng。建议:连接SSH进行操作,在VMware中不方便看日志。(工具:Putty、Xshell)查找文件所在位置:find / -name prism 2>/dev/null。过滤命令:ps aux |grep www-data -v。按照历史记录执行一遍,可以看到行为。
应急响应-web
m0_65096687的博客
05-28 1886
应急响应预案进行复盘,总结经验,吸取教训。提出整改建议。攥写应急响应报告。
Windows应急响应练习-勒索病毒篇1
一只爱吃橙子的羊
03-07 6623
此文章参考真实Windows服务器被勒索病毒威胁,在本地搭建测试环境,使用相应的勒索病毒,为防止病毒扩散,此处不提供测试环境与病毒
应急响应靶机练习-Linux1
m0_74631795的博客
03-14 1416
在配置文件中发现redis监听0.0.0.0,并且没有密码要求(requirepass被注释了),这就是redis未授权访问漏洞的根源。是一个传统的 Linux 启动脚本文件,用于在系统启动时执行一些自定义的命令或脚本。之所以查看redis日志,是因为在lastlog中发现存在redis用户,再结合ssh公钥登录,很有可能是redis未授权漏洞。发现含有redis字符的ssh公钥,可以判定攻击者利用redis未授权漏洞进行ssh公钥写入,再进行ssh远程连接。分左右,在短时间内,可疑IP
应急响应靶场练习-linux1
weixin_71228046的博客
04-15 223
etc/rc.d/rc.local 是启动时自动执行的脚本。2.三个flag(flag格式flag{xxxxx})发现攻击者IP地址 192.168.75.129。发现第一个flag{thisismyboby}用户:defend/defend。查看网络连接,没有发现可疑ip。查看用户时发现redis用户。查看所有用户登录时间。查看该用户的配置文件。
应急响应练习靶机-web1
tddkett的博客
08-18 676
前景需要:小李在值守的过程中,发现有CPU占用飙升,出于胆子小,就立刻将服务器关机,这是他的服务器系统,你找出以下内容,并作为通关条件:1.攻击者的shell密码2.攻击者IP地址3.攻击者的隐藏账户名称4.攻击者挖矿程序的矿池域名、用户:administrator 密码:Zgsf@admin.com解题方法不唯一,仅供参考。
2023信息安全管理与评估-linux应急响应-1
chinese_cabbage0的博客
11-30 1966
赛题解析
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

怪兽不会rap_哥哥我会crash

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值