0×00 背景

最近接手了一起应急事件，事件的起因是这样，某IP地址在短时间内攻击国家CN顶级域名(203.119.x.1)近8万次。于是便作为一员接手了此次事件。

0×01 事件取证过程

1.Nmap扫描，存在的未知端口

如上图所示，存在着未知的端口8093，我们尝试在浏览器中这个端口的信息，结果将一个未知文档下载下来，将其打开如图所示：

具体信息未知，我们猜测这个端口可能与后门文件(r.txt)的监听端口有关。同时我们在受害者服务器上查看这个端口建立的连接，结果也没有相关信息。具体如下图所示‍‍

我们查看后门文件，存在着一条建立Socket通信的端口信息，怀疑此监听端口是攻击者自己定义的端口信息，具体如下图所示

2. ls命令的异样性

通过此次的渗透测试，我们发现部分root命令已经被替换，其中被替换的命令包括 ls，find等命令。

当我们在终端中输入，ls命令时，发现存在着异常，具体如下图所示：

毕竟与正常的命令存在着差异，我们使用alias命令，结果如下图

‍‍很明显，具体的命令已经被人修改过了，通过进一步的渗透，我们发现在/usr/lib/libsh的目录下，存在着可疑文件.backup，具体如下图所示：

我们进入到.backup文件夹中，发现被替换的root命令，结果如下图所示

其它命令，同ls一样，皆被替换。

3 .bash_history日志中的行为

在我们接到这次应急任务之后，第一时间查看服务器上的相关日志，从而分析出其中存在的可疑行为：

(1)可疑行为之一，如图

‍‍进而分析出，其具体的行为:运行其中的shaiba.pl(具体行为参加下一小节，脚本程序的分析)程序。

‍‍(2) 通过查看，我们得到/var/lib/libsh下的具体的文件，如下图所示，这些文件都是可疑脚本，对于脚本具体的分析参见下一小节。‍‍‍‍

‍‍(3)可疑行为之二：如图‍‍

恶意攻击者，通过ln –s的命令在 /usr/local/lib64/perl5/LockFile文件夹下建立这个文档的映射。因为这个命令夹杂在shaiba.pl这个可疑脚本之间，故需要网站运维人员的配合，确定出这条是否是管理人员的操作，还是恶意攻击者的操作。从而推断出其真正的意图。

‍‍(4) 可疑行为之三：如图‍‍

‍‍其中，命令du –h –max-depth=2再查看var/log/httpd 中文件的大小，并且修改过apache的访问日志，最终通过命令删除apache服务器的相关日志。攻击者在销毁证据，并且日志只保留了26号以后的行为。

4. 对于木马文件的分析

‍‍‍‍(1)可疑脚本一：r.txt 以及 reverse.txt‍‍‍‍

‍‍经过前期的分析，我们得知，r.txt是一个后门连接脚本。编写语言为perl语言。该脚本是恶意攻击者种植在受害者服务器上的脚本。并且通过制定的远程IP地址以及相应的端口信息，将受害者的服务器的相应信息利用Socket通信方式发送给恶意攻击者。‍‍

具体的路径在/var/www/html/r.tx以及 /var/lib/libsh/reverse.txt，具体如下图所示：

并且通过前期的分析，我们得知该站点存在一个可疑的端口，而且我们怀疑这个端口就是此脚本中建立的监听端口。 部分程序如下截图：

本文来源：SecYe安全网[http://www.secye.com] (责任编辑：SecYe安全)

• ·服务器、网站被攻击了怎么办？
• ·【漏洞分析】Joomla!3.7.0 Core com_fiel
• ·从hash传递攻击谈相关Windows安全机制
• ·谍影追踪：全球首例UEFI_BIOS木马分析
• ·一个新IoT僵尸网络正在 HTTP 81上大范围
• ·看我如何使用Cloud Fuzzing挖到了一个tcp
• ·Windows漏洞实战，盲打女寝
• ·E.L.K搭建实时日志分析平台
• ·Powersploit在内网渗透中的使用
• ·在Android Native层中创建Java虚拟机实例
• ·Metasploitable 漏洞演练系统
• ·浅谈拒绝服务攻击的原理与防御（7）：用P
• ·Word曝0day漏洞：无需启用宏，打开文档就
• ·网络安全远程渗透NT系统及破解方法
• ·Linux 内核漏洞利用教程（一）：环境配置
• ·使用云平台的ROKRAT木马分析