记录一次网络安全应急响应溯源过程

简介: 网络安全应急响应是一种组织在发生网络安全事件时采取的行动,旨在迅速应对和缓解潜在的威胁,最大程度地减少损失并恢复正常的网络运行状态

网络安全应急响应

任务环境说明:

ü  服务器场景:Server2228(开放链接)

ü  用户名:root,密码:p@ssw0rd123

1. 找出被黑客修改的系统别名,并将倒数第二个别名作为Flag值提交;

使用用户名和密码登录系统,如下图

Linux 中,可以使用 “alias” 命令查看当前系统中定义的所有别名

FLAG:ss

2.找出系统中被植入的后门用户删除掉,并将后门用户的账号作为Flag值提交(多个用户名之间以英文逗号分割,如:admin,root);

Cat /etc/passwd  #查看/etc/passwd文件是否存在可疑的用户

FLAGsclipicibosu

3.找出黑客在admin用户家目录中添加的ssh后门,将后门的写入时间作为Flag值(提交的时间格式为:2022-01-12 08:08:18

那么我们先进入到/home/admin目录下,这里用ls -al命令才可以查看出这个文件,如果使用ls是查看不到的

然后我们进入到这个目录当中,然后使用stat *命令

# stat 命令在 Linux 中用于查询和显示文件的详细状态。执行 “stat *” 命令将显示当前目录下的每个文件或目录的详细信息

FLAG2022-09-14 15:04:47

4.找出黑客篡改过的环境变量文件并还原,将文件的md5值作为Flag值提交;

我们可以进入到/home/admin目录下使用ls -al列出所有文件来发掘黑客篡改过的环境然后用md5sum将文件加密

# Linux 系统中,.bashrc 文件是 bash shell 运行时所读取并执行的一个脚本文件。该文件通常位于用户主目录下,用于在启动 Bash 时执行指定的命令和设置环境变量等配置。当你登录时,.bashrc 文件将被读取并加载到一个 bash shell 进程中,包括设置 PS1 环境变量、设置别名等命令

使用md5sum工具加密这个文件

FLAG2f8222b4f275c4f18e69c34f66d2631b

5.找出黑客修改了bin目录下的某个文件,将该文件的格式作为Flag值提交;

根据前几题,我们得知一个.ssh.bashrc文件是被黑客篡改的,然后.bashrc是一个程序,.ssh才是一个目录,于是我们使用stat命令查看.ssh最近被修改的时间。

基本可以确定就是这个.ssh,然后我们直接file查看bin目录下的可执行ssh大文件格式

# Linux 中,可以使用命令 “file” 查看文件的格式信息

FLAGASCII text

6.找出黑客植入系统中的挖矿病毒,将矿池的钱包地址作为Flag值(提交格式为:0xa1d1fadd4fa30987b7fe4f8721b022f4b4ffc9f8)提交。

这一个任务其实就是应急响应,让去学会linux应急的命令,然后去系统里面去溯源去找FLAG,主要耗费的是时间。

FLAG:0xd281ffdd4fb30987b7fe4f8721b022f4b4ffc9f8

目录
相关文章
|
6天前
|
安全 网络安全 区块链
发现挖矿木马产生的网络安全,如何紧急应急响应
挖矿木马是利用各种方法入侵计算机,利用被入侵计算机的算力挖掘加密数字货币以牟取利益的木马。其既可以是一段自动化扫描、攻击的脚本,也可以集成在单个可执行文件中。挖矿木马为了能够长期在服务器中驻留,会采用多种安全对抗技术,如修改任务计划、修改防火墙配置、修改系统动态链接库等,使用这些技术手段严重时可能造成服务器业务中断。
|
9月前
|
运维 监控 安全
【网络安全】护网系列-社工&溯源
【网络安全】护网系列-社工&溯源
717 0
|
5月前
|
安全 网络安全 PHP
2021年中职“网络安全“江西省赛题—B-5:应急响应
2021年中职“网络安全“江西省赛题—B-5:应急响应
63 0
|
6天前
|
监控 安全 网络安全
网络安全应急响应常用工具介绍
在网络安全应急响应中可使用的工具很多,我将我认知的以下部分常用工具分享给大家
网络安全应急响应常用工具介绍
|
5月前
|
安全 网络安全 数据安全/隐私保护
2023年中职“网络安全“—网络安全应急响应
2023年中职“网络安全“—网络安全应急响应
99 0
|
6月前
|
存储 安全 SoC
网络溯源-PSEXEC-简单
我们的入侵检测系统(IDS)已发出警报,指示涉及使用PsExec的可疑横向移动活动。为了有效响应此事件,您作为 SOC 分析师的角色是分析存储在 PCAP 文件中的捕获网络流量。
|
9月前
|
安全 关系型数据库 MySQL
【网络安全】护网系列-应急响应排查
【网络安全】护网系列-应急响应排查
389 0
|
供应链 安全 搜索推荐
浅谈网络攻击追踪溯源
浅谈网络攻击追踪溯源
|
4天前
|
运维 网络协议 Linux
Docker网络_docker 网络,来看看这份超全面的《Linux运维面试题及解析》
Docker网络_docker 网络,来看看这份超全面的《Linux运维面试题及解析》