网络安全应急响应
题目简介:X集团的WebServer服务器遭到黑客入侵,该服务器的Web应用系统被上传恶意软件,系统文件被恶意软件破坏,您的团队需要帮助该公司追踪此网络攻击的来源,在服务器上进行全面的检查,包括日志信息、进程信息、系统文件和恶意文件等。通过分析黑客的攻击行为,我们将发现系统中的漏洞,并对其进行修复。
我们ssh连接目标机器,查看/var/log,发现存在nginx目录
我们访问nginx的日志,cat /var/log/nginx/access.log
发现 38.207.130.14这个ip多次尝试爆破路径,则此为攻击者ip,然后 dirbuster的UA信息则说明用的是这个工具
第一第二问题解决
继续查阅日志发现这里有eval的使用,我们解码内容看看
发现他生成了一个a.php和后面的访问相吻合,说明在这时攻击者成功攻击了服务器,时间为 03/11/2023:15:03:35,则攻击者的后门木马文件是a.php,目录是 /var/www/html/a.php,解决了第三个第四个问题
我们查看a.php,发现是一句话木马,密码是 1
之后我们溯源一下search.php,因为是从这里打入的
在跟随到include/common.php,发现一个webscan和计划任务
我们先查看这个webscan,在360webscan.php里面发现混淆加密后的木马 /var/www/html/include/webscan/360webscan.php
检查完这些后我们看一下进程看看有没有可疑程序 ps -ef发现这个php-fpm有点可疑
但是不能确认这是可疑文件,我们尝试看一下计划任务 cat /var/spool/cron
发现恶意进程的计划任务,则认定此为恶意进,然后我们查看连接状态 netstat -anutp
发现恶意程序连接的ip和端口 38.95.101.254:443
然后根据CMS的漏洞修复此问题即可