网站项目报价方案,网站建设学什么好,售后服务网点建设是指网站,网站怎么制作视频教程记一次应急响应练习(Linux)
Linux#xff1a; 请提交攻击者的IP地址 答#xff1a; 192.168.31.132 思路#xff1a; 通过查看历史命令和开放的8080端口看到这台主机上运行的是Tomcat服务。并且在历史命令中看到了Tomcat的安装路径。那么就算是找到了日志的查看点了#x…记一次应急响应练习(Linux)
Linux 请提交攻击者的IP地址 答 192.168.31.132 思路 通过查看历史命令和开放的8080端口看到这台主机上运行的是Tomcat服务。并且在历史命令中看到了Tomcat的安装路径。那么就算是找到了日志的查看点了去/opt/tomcat/logs里面查看日志。日志里面就只有192.168.31.132这么一个IP地址并且通过这个IP地址访问的路径追踪到了后门文件。直接就是实锤
2.请提交攻击者使用的操作系统
答 Windows NT 10.0; Win64; x64
思路分析日志的UA头即可得到答案很明显
请提交攻击者进入网站后台的密码
答 Juneha
思路 网站后台的账号密码应该都是放在数据库中有保存的那么就去找数据库的连接账号在一开始翻看历史命令的时候就看到了mysql连接的账号和密码直接连接数据库去查看就行了。拿到账号密码后自己访问一下网站后台试试账号密码是否正确。
一个是正经的管理员吧看头像就像另一个因该是攻击者留下的影子账户用做权限维持的。
4.请提交攻击者首次攻击成功的时间格式DD/MM/YY:hh:mm:ss
答 2023/5/08:05:02:16
思路如图
5.请提交攻击者上传的恶意文件名绝对路径
答 /opt/tomcat/webapps/ROOT/userImg/Juneha.jsp
思路 日志中发现了后门文件了直接去网站目录下找他就可以了。
6. 请提交攻击者写入的恶意后门文件的连接密码 答 pass
思路 找到路径 查看文件内容。要熟悉后门文件样本。跟哥斯拉生成的javajsp类型的后门一样。密码就是pass了
7.请提交攻击者创建的用户账户名称 答 Juneha
思路 在home目录下看到了Juneha。系统一共俩账户一个root一Juneha。总不能是root吧。而且通过查看历史命令也发现了证据
8. 请提交恶意进程的名称 答.t0mcat
思路 首先它是由攻击者创建的账户所启动的程序还隐藏的。通过计时任务也发现了这一可执行程序。基本实锤的。我把文件重命名成xx后放到物理机桌面一查就查出来了。
9. 请提交恶意进程对外连接的IP地址
答 114.114.114.114
**思路 ** 查看网络连接信息就好了
请分析攻击者的入侵行为与过程 1.在网站上注册了一个账户。 2.在网站的个人信息页面上传了后门获取shell 3.留下了影子账户、定时的后门程序、一些列操作来维持权限
