知工善防靶机-应急响应靶机Linux-1

服务器被入侵应急响应分析报告

前景场景

小王急匆匆地找到小张,焦急地说:“李哥,我dev服务器被黑了,快救救我!!”

靶机基础信息

账户名 密码
defend defend
root defend

核心任务

  1. 定位攻击者IP地址
  2. 挖掘3个格式为 flag{xxxxx} 的目标flag

一、查找可疑的命令历史

1.1 defend 用户命令历史(defend’s History)

查看 history 命令输出结果,未发现defend用户存在可疑命令记录
defend用户命令历史截图

1.2 root 用户命令历史(root’s History)

1.2.1 root目录下的flag

通过root用户历史命令,发现root目录中存在第一个flag:
flagflag{thisismybaby}
root目录flag相关截图

1.2.2 可疑操作命令

历史记录中发现异常命令: 

chmod +x /etc/rc.d/rc.local

想吃KFC? 求我
root用户可疑命令截图
从中提取到第二个flag:
flagflag{kfcvme50}

二、异常进程排查

执行进程查看命令后,未发现可疑进程痕迹
进程排查结果截图

三、定时任务审计

检查系统定时任务(crontab等),未发现异常定时任务配置
定时任务排查截图

四、异常服务检测

执行服务状态查询命令: 

systemctl list-unit-files --type=service --state=enabled,enabled-runtime

启用服务列表截图

五、日志分析(重点:Redis日志)

通过分析Redis服务日志,定位到攻击者IP地址:
flag192.168.75.129
Redis日志分析截图

六、账户安全分析

检查 /etc/passwd 文件,未发现可疑新增账户记录
/etc/passwd文件排查截图

七、配置文件排查(Redis配置)

执行命令检索Redis配置中的flag相关内容: 

cat redis.conf | grep "flag*"

Redis配置flag检索截图
flagflag{P@ssW0rd_redis}