0%

强网杯应急响复盘

事中应急响应

对应急响应经验不足错误总结如下:

失误

  • 操作频繁,导致shell命令覆盖,无法朔源黑客执行的哪些操作

  • web访问频繁,导致web日志存在大量自身ip地址导致审计困难。

正确操作:

  • 历史命令增加储存为1万条

    sed -i 's/^HISTSIZE=1000/HISTSIZE=10000/g' /etc/profile
  • 给历史命令增加登录的IP地址、执行命令时间等信息

    在/etc/profile的文件尾部添加如下行数配置信息:

######jiagu history xianshi#########
USER_IP=`who -u am i 2>/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]
then
USER_IP=`hostname`
fi
export HISTTIMEFORMAT="%F %T $USER_IP `whoami` "
shopt -s histappend
export PROMPT_COMMAND="history -a"
######### jiagu history xianshi ##########

​ 让配置生效

source /etc/profile

生成效果: 1  2018-07-10 19:45:39 192.168.204.1 root source /etc/profile
  • 开启tcpdump抓取流量到文件,以便使用wireshark分析

事中应急响应

web日志审计

  • 从日志可以发现,黑客对网站的后台发起了大量登陆尝试

img

系统日志审计

  • 系统登陆日志储存在var/log/auth.log或者var/log/secure上。

  • 查看日志成功登陆的IP、用户和时间

grep "Accepted " auth.log | awk '{print $1,$2,$3,$9,$11}'
  • 可以看到奇怪的用户名和奇怪的ip。

img

  • 查看具有root权限的用户
awk -F: '$3==0{print $1}' /etc/passwd
或者
cat /etc/passwd
查看uid=0的用户

img

img

  • 可以得知存在特权的用户除了root还有mysq1,再查看auth.log日志可以直接看到,该用户是被黑客新添加的,而其登陆ip和第一次登陆时间也可以得知

img

系统进程审查

  • 查看所有进程信息,找到异常的程序名
ps aux

img

  • 或者使用findshell直接GUI查看进程信息
    img

  • 找到了一个非常奇怪的进程名

xmr-stak-cpu
  • 直接查看定时任务也可以看到该进程被启用的信息

img

img

  • 可以知挖矿病毒绝对路径/etc/xmr-stak-cpu/bin/xmr-stak-cpu,同时bin/config.txt存储了挖矿病毒的配置信息,可以直接得知挖矿病毒的钱包地址。