0×00 背景

最近接手了一起应急事件，事件的起因是这样，某IP地址在短时间内攻击国家CN顶级域名(203.119.x.1)近8万次。于是便作为一员接手了此次事件。

0×01 事件取证过程

1.Nmap扫描，存在的未知端口

如上图所示，存在着未知的端口8093，我们尝试在浏览器中这个端口的信息，结果将一个未知文档下载下来，将其打开如图所示：

具体信息未知，我们猜测这个端口可能与后门文件(r.txt)的监听端口有关。同时我们在受害者服务器上查看这个端口建立的连接，结果也没有相关信息。具体如下图所示‍‍

我们查看后门文件，存在着一条建立Socket通信的端口信息，怀疑此监听端口是攻击者自己定义的端口信息，具体如下图所示

2. ls命令的异样性

通过此次的渗透测试，我们发现部分root命令已经被替换，其中被替换的命令包括 ls，find等命令。

当我们在终端中输入，ls命令时，发现存在着异常，具体如下图所示：

毕竟与正常的命令存在着差异，我们使用alias命令，结果如下图

‍‍很明显，具体的命令已经被人修改过了，通过进一步的渗透，我们发现在/usr/lib/libsh的目录下，存在着可疑文件.backup，具体如下图所示：

我们进入到.backup文件夹中，发现被替换的root命令，结果如下图所示

其它命令，同ls一样，皆被替换。

3 .bash_history日志中的行为

在我们接到这次应急任务之后，第一时间查看服务器上的相关日志，从而分析出其中存在的可疑行为：

(1)可疑行为之一，如图

‍‍进而分析出，其具体的行为:运行其中的shaiba.pl(具体行为参加下一小节，脚本程序的分析)程序。

‍‍(2) 通过查看，我们得到/var/lib/libsh下的具体的文件，如下图所示，这些文件都是可疑脚本，对于脚本具体的分析参见下一小节。‍‍‍‍

‍‍(3)可疑行为之二：如图‍‍

恶意攻击者，通过ln –s的命令在 /usr/local/lib64/perl5/LockFile文件夹下建立这个文档的映射。因为这个命令夹杂在shaiba.pl这个可疑脚本之间，故需要网站运维人员的配合，确定出这条是否是管理人员的操作，还是恶意攻击者的操作。从而推断出其真正的意图。

‍‍(4) 可疑行为之三：如图‍‍

‍‍其中，命令du –h –max-depth=2再查看var/log/httpd 中文件的大小，并且修改过apache的访问日志，最终通过命令删除apache服务器的相关日志。攻击者在销毁证据，并且日志只保留了26号以后的行为。

4. 对于木马文件的分析

‍‍‍‍(1)可疑脚本一：r.txt 以及 reverse.txt‍‍‍‍

‍‍经过前期的分析，我们得知，r.txt是一个后门连接脚本。编写语言为perl语言。该脚本是恶意攻击者种植在受害者服务器上的脚本。并且通过制定的远程IP地址以及相应的端口信息，将受害者的服务器的相应信息利用Socket通信方式发送给恶意攻击者。‍‍

具体的路径在/var/www/html/r.tx以及 /var/lib/libsh/reverse.txt，具体如下图所示：

并且通过前期的分析，我们得知该站点存在一个可疑的端口，而且我们怀疑这个端口就是此脚本中建立的监听端口。 部分程序如下截图：

本文来源：SecYe安全网[http://www.secye.com] (责任编辑：SecYe安全)

• ·绕过Windows Control Flow Guard思路分享
• ·绕过CDN查找网站真实IP方法收集
• ·使用Rust构建一个快速的Electron APP
• ·Cobalt Strike：使用混淆技术绕过Windows
• ·窃取SSH凭证的另一种方法
• ·PaloAlto远程命令执行漏洞关键技术分析终
• ·如何窃听不安全的 RDP 连接
• ·看我如何检测密码抓取神器Mimikatz的执行
• ·有了Rotten Potato，我再也不需要Meterpr
• ·内网渗透知识大总结
• ·网络攻击形式之网络钓鱼变种解析
• ·浅谈情报信息收集方式
• ·基于Servlet3.0+IBatis+BootStrip技术构
• ·IDS和IPS的部署细节科普
• ·一次阿里云服务被挖矿的经历
• ·攻击者侵入系统后如何提升账户权限：提权