Linux入侵取证:从一次应急事件讲起
0×00 背景
最近接手了一起应急事件,事件的起因是这样,某IP地址在短时间内攻击国家CN顶级域名(203.119.x.1)近8万次。于是便作为一员接手了此次事件。
0×01 事件取证过程
如上图所示,存在着未知的端口8093,我们尝试在浏览器中这个端口的信息,结果将一个未知文档下载下来,将其打开如图所示:
具体信息未知,我们猜测这个端口可能与后门文件(r.txt)的监听端口有关。同时我们在受害者服务器上查看这个端口建立的连接,结果也没有相关信息。具体如下图所示
我们查看后门文件,存在着一条建立Socket通信的端口信息,怀疑此监听端口是攻击者自己定义的端口信息,具体如下图所示
2. ls命令的异样性
通过此次的渗透测试,我们发现部分root命令已经被替换,其中被替换的命令包括 ls,find等命令。
当我们在终端中输入,ls命令时,发现存在着异常,具体如下图所示:
毕竟与正常的命令存在着差异,我们使用alias命令,结果如下图
很明显,具体的命令已经被人修改过了,通过进一步的渗透,我们发现在/usr/lib/libsh的目录下,存在着可疑文件.backup,具体如下图所示:
我们进入到.backup文件夹中,发现被替换的root命令,结果如下图所示
其它命令,同ls一样,皆被替换。
3 .bash_history日志中的行为
在我们接到这次应急任务之后,第一时间查看服务器上的相关日志,从而分析出其中存在的可疑行为:
(1)可疑行为之一,如图
进而分析出,其具体的行为:运行其中的shaiba.pl(具体行为参加下一小节,脚本程序的分析)程序。
(2) 通过查看,我们得到/var/lib/libsh下的具体的文件,如下图所示,这些文件都是可疑脚本,对于脚本具体的分析参见下一小节。
(3)可疑行为之二:如图
恶意攻击者,通过ln –s的命令在 /usr/local/lib64/perl5/LockFile文件夹下建立这个文档的映射。因为这个命令夹杂在shaiba.pl这个可疑脚本之间,故需要网站运维人员的配合,确定出这条是否是管理人员的操作,还是恶意攻击者的操作。从而推断出其真正的意图。
(4) 可疑行为之三:如图
其中,命令du –h –max-depth=2再查看var/log/httpd 中文件的大小,并且修改过apache的访问日志,最终通过命令删除apache服务器的相关日志。攻击者在销毁证据,并且日志只保留了26号以后的行为。
4. 对于木马文件的分析
(1)可疑脚本一:r.txt 以及 reverse.txt
经过前期的分析,我们得知,r.txt是一个后门连接脚本。编写语言为perl语言。该脚本是恶意攻击者种植在受害者服务器上的脚本。并且通过制定的远程IP地址以及相应的端口信息,将受害者的服务器的相应信息利用Socket通信方式发送给恶意攻击者。
具体的路径在/var/www/html/r.tx以及 /var/lib/libsh/reverse.txt,具体如下图所示:
并且通过前期的分析,我们得知该站点存在一个可疑的端口,而且我们怀疑这个端口就是此脚本中建立的监听端口。 部分程序如下截图:
本文来源:SecYe安全网[http://www.secye.com] (责任编辑:SecYe安全)
- ·绕过Windows Control Flow Guard思路分享
- ·绕过CDN查找网站真实IP方法收集
- ·使用Rust构建一个快速的Electron APP
- ·Cobalt Strike:使用混淆技术绕过Windows
- ·窃取SSH凭证的另一种方法
- ·PaloAlto远程命令执行漏洞关键技术分析终
- ·如何窃听不安全的 RDP 连接
- ·看我如何检测密码抓取神器Mimikatz的执行
- ·有了Rotten Potato,我再也不需要Meterpr
- ·内网渗透知识大总结
- ·网络攻击形式之网络钓鱼变种解析
- ·浅谈情报信息收集方式
- ·基于Servlet3.0+IBatis+BootStrip技术构
- ·IDS和IPS的部署细节科普
- ·一次阿里云服务被挖矿的经历
- ·攻击者侵入系统后如何提升账户权限:提权
- ·绕过Windows Control Flow Guard思路分享
- ·绕过CDN查找网站真实IP方法收集
- ·使用Rust构建一个快速的Electron APP
- ·Cobalt Strike:使用混淆技术绕过Windows D
- ·窃取SSH凭证的另一种方法
- ·PaloAlto远程命令执行漏洞关键技术分析终篇
- ·如何窃听不安全的 RDP 连接
- ·看我如何检测密码抓取神器Mimikatz的执行
- ·有了Rotten Potato,我再也不需要Meterpret
- ·内网渗透知识大总结
- ·网络攻击形式之网络钓鱼变种解析
- ·浅谈情报信息收集方式
- ·基于Servlet3.0+IBatis+BootStrip技术构建
- ·IDS和IPS的部署细节科普
- ·一次阿里云服务被挖矿的经历
- ·Cobalt Strike:使用混淆技术绕过Windows D
- ·PaloAlto远程命令执行漏洞关键技术分析终篇
- ·浅谈情报信息收集方式
- ·Powersploit在内网渗透中的使用
- ·FTPS(基于 SSL 的FTP)与 SFTP(SSH 文件
- ·SQL注入+XXE+文件遍历漏洞组合拳渗透Deutsc
- ·物联网设备Telnet口令快速扫描工具
- ·Redis 命令整理并说明如何使用
- ·HTTPS及HTTPS中间人攻击
- ·浅谈逆向工程在网络安全研究中的运用
- ·各种提权、渗透经验技巧总结大全
- ·使用PowerShell Payload暴力破解出口过滤规
- ·浅谈漏洞检测工具用语说明
- ·使用burp进行java反序列化攻击
- ·Windows内核漏洞MS15-010/CVE-2015-0057分