玄机——第一章 应急响应-Linux入侵排查

简介：

账号：root 密码：linuxruqin
ssh root@IP
1.web目录存在木马，请找到木马的密码提交
2.服务器疑似存在不死马，请找到不死马的密码提交
3.不死马是通过哪个文件生成的，请提交文件名
4.黑客留下了木马文件，请找出黑客的服务器ip提交
5.黑客留下了木马文件，请找出黑客服务器开启的监端口提交

1、web目录存在木马，请找到木马的密码提交

让我们在web目录中找木马，所以先将/var/www/html目录打包，然后放入D盾扫描。

输入：tar -czvf linuxruqin.tar.gz /var/www/html

D盾扫描出了4个可疑文件，我们逐个去看：

最后，在1.php中发现存在一句话木马：

post请求中的参数为1，因此木马的连接密码为1，flag{1}。

2、服务器疑似存在不死马，请找到不死马的密码提交

让我们找到不死马，仍旧分析D盾扫描出的几个文件，在index.php中可以发现不死马的踪迹

这段代码在/var/www/html 路径下生成了一个.shell.php的隐藏文件，并向该文件里插入了一个一句话木马，这里我们得到了木马密码的md5值，于是将它拿到cmd5里解密：

因此，flag{hello}。

3、不死马是通过哪个文件生成的，请提交文件名

生成不死马的文件就是上一步骤分析的index.php文件，直接提交文件名即可：flag{index.php}。

4、黑客留下了木马文件，请找出黑客的服务器ip提交

这里让我们找出留下的木马文件，在Linux里一般木马文件的后缀为.elf，直接在html目录下查找即可，发现了一个elf文件：

让我们找出黑客的IP，运行一下木马：

输入：

linux">chmod +x 'shell(1).elf'
./'shell(1).elf'

然后我们另起一个终端，查看它的网络行为

输入： netstat -anpot

得到IP：10.11.55.21，flag{10.11.55.21}。

5、黑客留下了木马文件，请找出黑客服务器开启的监端口提交

让我们找出黑客的监听端口，在上图中可以看到端口为3333，flag{3333}。