一.环境准备
1.镜像文件
2.任务说明
3.用户密码
二.应急响应
环境启动
1.导入镜像文件并修改网络
2.远程连接
ss -ntl #列出系统中运行的所有进程
用远程连接工具连接
任务一
Linux 服务日志默认存储在/var/log目录下
默认网站根目录:/var/www/html/
1.查看端口开放
netstat -tunlp #显示每个连接的协议、本地和远程地址、状态、进程ID(PID)/程序名称等信息
有80端口开放访问192.168.141.129:80
是一个网页
2,查看日志文件
服务日志默认存储在/var/log目录下
cd /var/log/apache2 #切换目录
access.log 代表Apache服务器的访问日志,记录了用户访问网站的详细信息,如访问时间、IP地址、请求的页面等。
access.log.1 是access.log的旧日志文件,通常是前一天或前几天的访问日志。
error.log 代表Apache服务器的错误日志,记录了服务器在处理请求过程中出现的错误信息。
error.log.1是error.log的旧日志文件,通常是前一天或前几天的错误日志。
other_vhosts_access.log代表其他虚拟主机的访问日志,记录了其他虚拟主机访问网站的详细信息。
将access.log导出到主机并用visual打开
注:这里的开的日志文件是原本/var/log/apache2/access.log.1
攻击者的IP:192.168.1.7
任务二
继续查看日志,看到攻击者使用的操作系统为:Linux x86_64
任务三
常见的资产收集平台:fofa,shodan
Ctrl+F搜索fofa或者shodan发现资产收集的平台
攻击者资产收集所使用的平台:shodan.io
任务四
提交攻击者目录扫描所使用的工具名称:DIRSEARCH
任务五
攻击者首次攻击成功的时间:24/Apr/2022:15:25:53
任务六
攻击者写入的恶意后门文件,提交文件名(完整路径)和后门密码:/var/www/html/data/avatar/1.php 2022
任务七
grep -E "system|eval|assert|passthru" *.php #在当前目录中的所有.php文件中搜索字符串"system"、“eval”、“assert"或"passthru”
攻击者隐藏在正常web应用代码中的恶意代码,提交该文件名:footer.php
三,任务总结
