玄机应急：linux入侵排查webshell查杀日志分析

目录

第一章linux:入侵排查

1.web目录存在木马，请找到木马的密码提交

2.服务器疑似存在不死马，请找到不死马的密码提交

3.不死马是通过哪个文件生成的，请提交文件名

4.黑客留下了木马文件，请找出黑客的服务器ip提交

5.黑客留下了木马文件，请找出黑客服务器开启的监端口提交

第一章linux:webshell查杀

1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}

2.黑客使用的什么工具的shell github地址的md5 flag{md5}

3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx

4.黑客免杀马完整路径 md5 flag{md5}

第一章：Linux的日志分析

1.有多少IP在爆破主机ssh的root帐号，如果有多个使用","分割

2.ssh爆破成功登陆的IP是多少，如果有多个使用","分割

3.爆破用户名字典是什么？如果有多个使用","分割

4.成功登录 root 用户的 ip 一共爆破了多少次

5.黑客登陆主机后新建了一个后门用户，用户名是多少

---

第一章linux:入侵排查

启动环境，直接连上Xshell

1.web目录存在木马，请找到木马的密码提交

因为是web目录，直接进入到根目录

cd /var/www/html

web目录存在木马，可以用以下命令查找以jsp/php/asp/aspx结尾的文件

find ./ type f -name "*.jsp" | xargs grep "exec("find ./ type f -name "*.php" | xargs grep "eval("find ./ type f -name "*.asp" | xargs grep "execute("find ./ type f -name "*.aspx" | xargs grep "eval("

根据经验，这里我先查了以php文件结尾的

这里也是直接发现了最后一个文件是一句话木马，密码是1，直接提交

flag{1}

2.服务器疑似存在不死马，请找到不死马的密码提交

不死马：隐藏性强，持久性，多样化

根据不死马的特性持久性强，根据这个思路进行排查

查看计划任务：crontab -l

没有计划任务

查看启动项：

cat /etc/rc.local

查看系统启动和关闭时运行的一系列脚本文件：ls /etc/init.d/

查看和管理系统服务状态：systemctl list-unit-files --type=service

也是没有什么发现

刚才在筛选php后缀文件时发现一个shell.php ，查看一下

这个被MD5加密了，直接解密

尝试提交一下，是正确的

flag{hello}

3.不死马是通过哪个文件生成的，请提交文件名

根据刚才查找php后缀文件，分析index.php

查看：cat index.php 这个文件

可以看出，这个 index.php 文件生成的不死马

flag{index.php}

4.黑客留下了木马文件，请找出黑客的服务器ip提交

通过查看当前目录

发现一个shell(1).elf 文件

直接查看是一串乱码

根据题目说找到黑客的IP，说明黑客连接了这台机器

根据这个 以 elf 为后缀的文件，它是一个可执行程序

那么直接给它加权限运行

chmod 777 "shell(1).elf"./'shell(1).elf'

查看一下端口情况：

netstat -antlp | more

发现一个外部连接有一个陌生地址，这个应该是黑客的IP 和端口，直接提交

flag{10.11.55.21}

5.黑客留下了木马文件，请找出黑客服务器开启的监端口提交

根据上面找到的端口直接提交

flag{3333}

第一章linux:webshell查杀

开启环境，连上Xshell

1.黑客webshell里面的flag flag{xxxxx-xxxx-xxxx-xxxx-xxxx}

先进入到根目录

直接查找危险函数：

cd /var/www/htmlfind ./ type f -name "*.jsp" | xargs grep "exec("find ./ type f -name "*.php" | xargs grep "eval("find ./ type f -name "*.asp" | xargs grep "execute("find ./ type f -name "*.aspx" | xargs grep "eval("

发现三个可疑php文件，那么一个一个分析

cat ./include/gz.php

根据前三句话，可以看出这是一个哥斯拉的webshell

下面注释有点像要提交的flag格式，试一下，正确

flag{027ccd04-5065-48b6-a32d-77c704a5e26d}

2.黑客使用的什么工具的shell github地址的md5 flag{md5}

根据我们第一题分析的是一个哥斯拉webshell，要我们提交github地址，我们网上找一下

第一个就是，  Godzilla地址：GitHub - BeichenDream/Godzilla: 哥斯拉

要提交地址的MD5，直接找一个在线网站加一下密MD5 在线加密工具 | 菜鸟工具 (jyshare.com)

flag{39392de3218c333f794befef07ac9257}

3.黑客隐藏shell的完整路径的md5 flag{md5} 注 : /xxx/xxx/xxx/xxx/xxx.xxx

因为是隐藏的，说明不能直接通过 ls 命令查看到

这里需要用到一个命令：ls -la  可以看到隐藏的文件

在之前查找php文件的时候，发现了一个以.结尾的隐藏文件

看一下这个文件是不是隐藏的shell

cat ./include/Db/.Mysqli.php

典型的哥斯拉webshell，猜测这就是要找的，查看进入这个目录，查看路径

cd ./include/Db/
pwd

最后拼接上隐藏文件即可：

/var/www/html/include/Db/.Mysqli.php

MD5加密：

flag{aebac0e58cd6c5fad1695ee4d1ac1919}

4.黑客免杀马完整路径 md5 flag{md5}

因为做了免杀，常规排查方法不可行，那么直接看日志

查看Apache2日志：位于：/var/log/apache2/access.log

cat /var/log/apache2/access.log

发现一个执行了 phpinfo()  , 可能是我们要找的，但是提交了发现不对

继续往下找，又发现了一个

又发现一个

直接拼接路径加密

flag{eeff2eabfd9b7a6d26fc1a53d3f7d1de}

第一章：Linux的日志分析

开启环境，连上Xshell

1.有多少IP在爆破主机ssh的root帐号，如果有多个使用","分割

先进入日志目录：

cd /var/log

直接筛选爆破失败的IP和次数

cat auth.log.1 | grep -a "Failed password for root" | awk '{print $11}' | sort | uniq -c | sort -nr | more

直接提交

flag{192.168.200.2,192.168.200.31,192.168.200.32}

2.ssh爆破成功登陆的IP是多少，如果有多个使用","分割

筛选登录成功的IP和次数

cat auth.log.1 | grep -a "Accepted " | awk '{print $11}' | sort | uniq -c | sort -nr | more

flag{192.168.200.2}

3.爆破用户名字典是什么？如果有多个使用","分割

筛选登录尝试失败的用户名称

cat auth.log.1 | grep -a "Failed password" |perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr

flag{user,hello,root,test3,test2,test1}

4.成功登录 root 用户的 ip 一共爆破了多少次

筛选以root用户爆破失败的次数

cat auth.log.1 | grep -a "Failed password for root" | awk '{print $11}' | sort | uniq -c | sort -nr | more

发现以root用户登录失败的次数是4

flag{4}

5.黑客登陆主机后新建了一个后门用户，用户名是多少

直接筛选日志中新建的用户

cat auth.log.1 |grep -a "new user"

发现有两个，两个中肯定有一个后门用户，一个一个提交试试

最后发现test2就是后门用户

flag{test2}

其实还可以查看用户列表：

cat /etc/passwd

一般最后一个用户即为添加的后门用户