日志分析-redis应急响应

简介
服务器场景操作系统 Linux
服务器账号密码 root xjredis
任务环境说明
注：样本请勿在本地运行！！！样本请勿在本地运行！！！样本请勿在本地运行！！！
应急响应工程师小王某人收到安全设备告警服务器被植入恶意文件，请上机排查

步骤#1

通过本地 PC SSH到服务器并且分析黑客攻击成功的 IP 为多少,将黑客 IP 作为 FLAG 提交;

192.168.100.13出现次数较多明显是爆破
192.168.100.20是主从复制

步骤#2

通过本地 PC SSH到服务器并且分析黑客第一次上传的恶意文件,将黑客上传的恶意文件里面的 FLAG 提交;

这里从exp.so加载了system模块，exp.so无疑就是上传的了
寻找exp.so（根目录）

步骤#3

通过本地 PC SSH到服务器并且分析黑客反弹 shell 的IP 为多少,将反弹 shell 的IP 作为 FLAG 提交;

看一下定时任务

crontab -l

步骤#4

通过本地 PC SSH到服务器并且溯源分析黑客的用户名，并且找到黑客使用的工具里的关键字符串(flag{黑客的用户-关键字符串} 注关键字符串 xxx-xxx-xxx)。将用户名和关键字符串作为 FLAG提交

看.ssh下的authorized_keys

xj-test-user
找一下该用户的github看一下历史版本

https://github.com/xj-test-user/redis-rogue-getshell/commit/76b1b74b92f9cc6ef2a62985debdf09dcc056636

flag{xj-test-user-wow-you-find-flag}

步骤#5

通过本地 PC SSH到服务器并且分析黑客篡改的命令,将黑客篡改的命令里面的关键字符串作为 FLAG 提交;

cd /usr/bin
ls -al