玄机———第二章日志分析-redis应急响应

玄机———第二章 日志分析-redis应急响应

目录 玄机———第二章 日志分析-redis应急响应一、通过本地 PC SSH到服务器并且分析黑客攻击成功的 IP 为多少,将黑客 IP 作为 FLAG 提交二、通过本地 PC SSH到服务器并且分析黑客第一次上传的恶意文件,将黑客上传的恶意文件里面的 FLAG 提交三、通过本地 PC SSH到服务器并且分析黑客反弹 shell 的IP 为多少,将反弹 shell 的IP 作为 FLAG 提交四、通过本地 PC SSH到服务器并且溯源分析黑客的用户名，并且找到黑客使用的工具里的关键字符串(flag{黑客的用户-关键字符串} 注关键字符串 xxx-xxx-xxx)。将用户名和关键字符串作为 FLAG提交五、通过本地 PC SSH到服务器并且分析黑客篡改的命令,将黑客篡改的命令里面的关键字符串作为 FLAG 提交

简介：

服务器场景操作系统 Linux 服务器账号密码 root xjredis

任务环境说明 注：样本请勿在本地运行！！！样本请勿在本地运行！！！样本请勿在本地运行！！！ 应急响应工程师小王某人收到安全设备告警服务器被植入恶意文件，请上机排查

一、通过本地 PC SSH到服务器并且分析黑客攻击成功的 IP 为多少,将黑客 IP 作为 FLAG 提交

进入/var/log/redis.log目录，查看日志文件

vim /var/log/redis.log

通过日志分析后，发现是基于redis主从复制的rce攻击：

尝试将自己设置为主服务器192.168.100.13:8888的从服务器，但是失败。

尝试将自己设置为主服务器192.168.31.55:8888的从服务器，尝试将自己设置为主服务器192.168.100.20:8888的从服务器，但是失败。

再次尝试将自己设置为主服务器192.168.100.20:8888的从服务器，主从同步成功！

因此，黑客攻击成功的IP为192.168.100.20，flag{192.168.100.20}。

二、通过本地 PC SSH到服务器并且分析黑客第一次上传的恶意文件,将黑客上传的恶意文件里面的 FLAG 提交

通过日志分析，发现上传在根目录下上传了恶意文件exp.so。

打开exp.so,然后检索flag：

flag{XJ_78f012d7-42fc-49a8-8a8c-e74c87ea109b}

三、通过本地 PC SSH到服务器并且分析黑客反弹 shell 的IP 为多少,将反弹 shell 的IP 作为 FLAG 提交

让我们寻找反弹shell的IP，我们可以查看黑客是否写入计划任务反弹shell：

crontab -l

发现计划任务：每分钟向IP：192.168.100.13弹一次反弹 Shell

flag{192.168.100.13}

四、通过本地 PC SSH到服务器并且溯源分析黑客的用户名，并且找到黑客使用的工具里的关键字符串(flag{黑客的用户-关键字符串} 注关键字符串 xxx-xxx-xxx)。将用户名和关键字符串作为 FLAG提交

让我们找到黑客的用户名，可以联想到黑客将ssh公钥上传至服务端达到免密登录的目的。 进入/root/.ssh目录，打开authorized_keys文件，得到用户名：xj-test-user

将改用户名放入github搜索，得到redis主从复制利用工具redis-rogue-getshell：

flag{xj-test-user-wow-you-find-flag}

五、通过本地 PC SSH到服务器并且分析黑客篡改的命令,将黑客篡改的命令里面的关键字符串作为 FLAG 提交

大多数Linux命令都是编译后的二进制可执行文件，因此我们可以查看查找可执行文件存放目录：

echo $PATH

依次到/usr/local/sbin，/usr/local/bin，/usr/sbin，/usr/bin，/sbin，/bin路径下，按照时间顺序查看最新的文件，发现可疑文件文件ps

cat /bin/ps

flag{c195i2923381905517d818e313792d196}