记录某次应急演练

前言

演练期间终端不知道发生了什么，反正自己查就行了

当时情况时间有限，很多点还可以继续细扣，期间截图并不完整，仅记录部分主要发现，敏感信息已打码

实际分析

登录终端，确认当前网段&ip：

确认cpu无异常：

历史命令已被删除：

终端无异常连接：

启动项发现异常如下：

发现相关目录存在异常，目标文件如下：

确认矿池信息：

继续追查计划任务，发现反弹shell如下：

看了眼log，确认依旧在运行：

passwd，发现异常，疑似攻击者进行备份，具体细节不便展示：

发现不正常的目录内容，但里边没有东西，可能已被删除：

继续追查中间件应用，目录发现webshell，后面知道其实是通过上传war包后解压getshell：


根据文件继续筛log，确认最先涉及的ip：

确认上传时间如下：

通过log确认攻击者先扫到后台目录，再进行登录，再上传war包以遍getshell：

再查看配置文件，确认管控后台为弱口令：