日志分析-redis应急响应

简介
服务器场景操作系统 Linux
服务器账号密码 root xjredis
任务环境说明
注:样本请勿在本地运行!!!样本请勿在本地运行!!!样本请勿在本地运行!!!
应急响应工程师小王某人收到安全设备告警服务器被植入恶意文件,请上机排查

步骤#1

通过本地 PC SSH到服务器并且分析黑客攻击成功的 IP 为多少,将黑客 IP 作为 FLAG 提交;

image.png
192.168.100.13出现次数较多明显是爆破
192.168.100.20是主从复制

步骤#2

通过本地 PC SSH到服务器并且分析黑客第一次上传的恶意文件,将黑客上传的恶意文件里面的 FLAG 提交;

image.png
这里从exp.so加载了system模块,exp.so无疑就是上传的了
寻找exp.so(根目录)
image.png

步骤#3

通过本地 PC SSH到服务器并且分析黑客反弹 shell 的IP 为多少,将反弹 shell 的IP 作为 FLAG 提交;

看一下定时任务

crontab -l

image.png

步骤#4

通过本地 PC SSH到服务器并且溯源分析黑客的用户名,并且找到黑客使用的工具里的关键字符串(flag{黑客的用户-关键字符串} 注关键字符串 xxx-xxx-xxx)。将用户名和关键字符串作为 FLAG提交

看.ssh下的authorized_keys
image.png
xj-test-user
找一下该用户的github看一下历史版本

https://github.com/xj-test-user/redis-rogue-getshell/commit/76b1b74b92f9cc6ef2a62985debdf09dcc056636

image.png

flag{xj-test-user-wow-you-find-flag}

步骤#5

通过本地 PC SSH到服务器并且分析黑客篡改的命令,将黑客篡改的命令里面的关键字符串作为 FLAG 提交;

cd /usr/bin
ls -al

image.png
image.png

posted @ 2024-04-28 21:52  NoCirc1e  阅读(245)  评论(0编辑  收藏  举报