记录一次网络安全应急响应溯源过程

简介: 网络安全应急响应是一种组织在发生网络安全事件时采取的行动,旨在迅速应对和缓解潜在的威胁,最大程度地减少损失并恢复正常的网络运行状态

网络安全应急响应

任务环境说明:

ü  服务器场景:Server2228(开放链接)

ü  用户名:root,密码:p@ssw0rd123

1. 找出被黑客修改的系统别名,并将倒数第二个别名作为Flag值提交;

使用用户名和密码登录系统,如下图

Linux 中,可以使用 “alias” 命令查看当前系统中定义的所有别名

FLAG:ss

2.找出系统中被植入的后门用户删除掉,并将后门用户的账号作为Flag值提交(多个用户名之间以英文逗号分割,如:admin,root);

Cat /etc/passwd  #查看/etc/passwd文件是否存在可疑的用户

FLAGsclipicibosu

3.找出黑客在admin用户家目录中添加的ssh后门,将后门的写入时间作为Flag值(提交的时间格式为:2022-01-12 08:08:18

那么我们先进入到/home/admin目录下,这里用ls -al命令才可以查看出这个文件,如果使用ls是查看不到的

然后我们进入到这个目录当中,然后使用stat *命令

# stat 命令在 Linux 中用于查询和显示文件的详细状态。执行 “stat *” 命令将显示当前目录下的每个文件或目录的详细信息

FLAG2022-09-14 15:04:47

4.找出黑客篡改过的环境变量文件并还原,将文件的md5值作为Flag值提交;

我们可以进入到/home/admin目录下使用ls -al列出所有文件来发掘黑客篡改过的环境然后用md5sum将文件加密

# Linux 系统中,.bashrc 文件是 bash shell 运行时所读取并执行的一个脚本文件。该文件通常位于用户主目录下,用于在启动 Bash 时执行指定的命令和设置环境变量等配置。当你登录时,.bashrc 文件将被读取并加载到一个 bash shell 进程中,包括设置 PS1 环境变量、设置别名等命令

使用md5sum工具加密这个文件

FLAG2f8222b4f275c4f18e69c34f66d2631b

5.找出黑客修改了bin目录下的某个文件,将该文件的格式作为Flag值提交;

根据前几题,我们得知一个.ssh.bashrc文件是被黑客篡改的,然后.bashrc是一个程序,.ssh才是一个目录,于是我们使用stat命令查看.ssh最近被修改的时间。

基本可以确定就是这个.ssh,然后我们直接file查看bin目录下的可执行ssh大文件格式

# Linux 中,可以使用命令 “file” 查看文件的格式信息

FLAGASCII text

6.找出黑客植入系统中的挖矿病毒,将矿池的钱包地址作为Flag值(提交格式为:0xa1d1fadd4fa30987b7fe4f8721b022f4b4ffc9f8)提交。

这一个任务其实就是应急响应,让去学会linux应急的命令,然后去系统里面去溯源去找FLAG,主要耗费的是时间。

FLAG:0xd281ffdd4fb30987b7fe4f8721b022f4b4ffc9f8

目录
相关文章
|
6月前
|
安全 网络安全 区块链
发现挖矿木马产生的网络安全,如何紧急应急响应
挖矿木马是利用各种方法入侵计算机,利用被入侵计算机的算力挖掘加密数字货币以牟取利益的木马。其既可以是一段自动化扫描、攻击的脚本,也可以集成在单个可执行文件中。挖矿木马为了能够长期在服务器中驻留,会采用多种安全对抗技术,如修改任务计划、修改防火墙配置、修改系统动态链接库等,使用这些技术手段严重时可能造成服务器业务中断。
|
1月前
|
监控 安全 Linux
网络安全事件应急响应
应急响应是针对网络安全事件的快速处理流程,包括信息收集、事件判断、深入分析、清理处置、报告产出等环节。具体步骤涵盖准备、检测、抑制、根除、恢复和总结。
|
5月前
|
安全 数据安全/隐私保护
应急响应-战后溯源反制&社会工程学&IP&ID追踪&URL反查&攻击画像
应急响应-战后溯源反制&社会工程学&IP&ID追踪&URL反查&攻击画像
|
6月前
|
存储 监控 安全
企业如何建立网络事件应急响应团队?
建立企业网络事件应急响应团队是应对勒索软件等威胁的关键。团队的迅速、高效行动能减轻攻击影响。首先,企业需决定是外包服务还是自建团队。外包通常更经济,适合多数公司,但大型或有复杂IT环境的企业可能选择内部团队。团队包括应急响应小组和技术支持监控团队,前者专注于安全事件处理,后者负责日常IT运维和安全监控。团队应包括安全分析工程师、IT工程师、恶意软件分析师、项目经理、公关和法律顾问等角色。此外,选择合适的工具(如SIEM、SOAR、XDR),制定行动手册、合规政策,创建报告模板,并进行定期训练和演练以确保团队的有效性。外包时,理解团队构成和运作方式依然重要。
133 1
|
6月前
|
监控 安全 网络安全
网络安全应急响应常用工具介绍
在网络安全应急响应中可使用的工具很多,我将我认知的以下部分常用工具分享给大家
网络安全应急响应常用工具介绍
|
11月前
|
安全 网络安全 数据安全/隐私保护
2023年中职“网络安全“—网络安全应急响应
2023年中职“网络安全“—网络安全应急响应
184 0
|
运维 Prometheus 监控
ARMS 助力极氪提效服务应急响应,为安全出行保驾护航
本文主要介绍了ARMS 助力极氪提效服务应急响应,重点介绍整体方案中围绕“告警、接手”两项落地的“以事件为中心的告警全生命周期管理”解决方案。
432 10
|
云安全 监控 负载均衡
信息安全-应急响应-阿里云安全应急响应服务
虽然企业已对业务系统进行了安全防护,如使用了阿里云安全组、web应用防火墙、云防火墙等安全产品,但随着攻击方法的发展,以及新的安全漏洞的出现等情况,业务系统面临着一些未知的潜在的安全风险。为了应对潜在的安全风险,企业需要通过应急响应,来保障现有业务系统的稳定运行。本文将对应急响应的基本原理进行介绍,并结合阿里云“安全应急响应服务”进行分析
1027 0
信息安全-应急响应-阿里云安全应急响应服务
|
云安全 监控 安全
一次云上病毒事件的应急响应——阿云的阿里云安全技术实践(1)
企业安全团队在阿里云上的一次木马病毒事件响应——一次根据非真实事件改编的安全小说……“安骑士主机异常事件:木马程序。”就不高速运转的脑神经,突然一阵抽搐……
3635 0
|
存储 监控 安全
安全应急响应的一些经验总结
本文讲的是安全应急响应的一些经验总结,在2016年,我尽可能的参与到了事件响应的工作中,并且我还花费了超过300小时的时间去作为今年很多安全事件或者数据泄露事件的顾问。这些工作中包括我目前正在进行的工作,协调事件受害者与事件响应人员的关系。
2373 0