网络安全应急响应
任务环境说明:
服务器场景:Server2228(开放链接)
用户名:root,密码:p@ssw0rd123
1.找出被修改的系统别名,并将倒数第二个别名作为Flag值提交;
alias # 查看系统别名
flag: ss
2.找出系统中被植入的后门用户删除掉,并将后门用户的账号作为Flag值提交(多个用户名之间以英文逗号分割,如:admin,root);
cat /etc/passwd # 查看存放用户的文件
flag:sclipicbosu
3.找出在admin用户家目录中添加的ssh后门,将后门的写入时间作为Flag值(提交的时间格式为:2022-01-12 08:08:18)
stat /root/.ssh/authorized_keys # stat命令显示文件详细信息 # authorized_keys文件保存别人的公钥,别人下次连接你不需要输入密码。
flag:2022-09-14 23:24:27
4.找出篡改过的环境变量文件并还原,将文件的md5值作为Flag值提交;
cd /etc/skel # 这个目录保存默认的 .bashrc 文件 ls -la # 查看当前目录下的所有文件包括隐藏文件并用列表展示 md5sum .bashrc # md5sum 计算 .bashrc 的md5值
为什么会出现在这个文件夹看了下面的你就懂了,然后还原黑客篡改过得,其实原来的.bashrc也没给,所以直接用这个
参考链接:/etc/sekl
5.找出修改了bin目录下的某个文件,将该文件的格式作为Flag值提交;
cd /usr/bin # 这个目录下存放命令 flie sshd # 查看文件格式
flag:ASCII text
6.找出植入系统中的挖矿病毒,将矿池的钱包地址作为Flag值(提交格式为:0xa1d1fadd4fa30987b7fe4f8721b022f4b4ffc9f8)提交。
cat /home/admin/.b4nd1d0 # 查看的挖矿地址文件
