博客
关于我
取证训练(二)
阅读量:733 次
发布时间:2019-03-21

本文共 1634 字,大约阅读时间需要 5 分钟。

问题1:攻击者是如何进入系统的?

通过分析wireshark中的SSH数据包,可以看出攻击者尝试了多次短暂的SSH会话。这些会话通常是暴力破解的结果,传统的单次密码或弱密码可能会导致系统被入侵。

问题2:有多少次失败的尝试?

从wireshark的数据包分析可以看到有51次短暂的SSH会话尝试。这些尝试很可能是失败的,尤其是在默认密码或弱密码的情况下。第52次和第53次会话则被认为是成功的登录尝试,这进一步支持了攻击者使用暴力破解工具如Hydra的可能性。

问题3:根据shadow.log和sudoers.log,哪些凭证用来进行登录?

shadow.log文件显示有12个用户,包括root用户。sudoers.log文件显示有5个非root用户可以通过sudo命令进行登录。这意味着这些用户有不同的权限级别,这些凭证可能被用来进行未经授权的访问尝试或正常业务操作。

问题4:恶意软件是怎么安装在受害者系统上的?

从wireshark分析中可以看出,恶意软件通过HTTP协议传输三个文件:1、2、3.文件3是一个Bash脚本,用于执行恶意操作。文件1是一个ELF64可执行文件,文件2是一个ELF可重定位文件。文件2是用于隐藏进程的内核模块,文件1是用于传输紧急包的dropper。文件3则负责安装和隐藏这些恶意组件。

问题5:恶意软件把本地文件保存在哪儿?

根据分析,恶意软件将文件保存在/var/mail/目录下。这是默认的恶意软件安装路径之一,能够隐藏文件并避开常规扫描。

问题6:ps.log中丢失了什么?

ps.log文件丢失了与恶意软件相关的信息,因为恶意软件使用内核模块隐藏了进程。这表明攻击者不仅成功侵入系统,还试图隐藏入侵证据。

问题7:恶意软件发送和接收了什么?提供文件和数据流。

从wireshark分析中可以看出,害恶意软件发送了多个HTTP请求,文件名是用base64编码的字符串表示。例如,文件名包含“/n/bsmHSxbNLOQx6jycBS677vZFxEnvFJXHkxni3GEWa7Ed8KLspb9BewBM4jGbT9cnUCokUmCLXrBRWQJIN05YuSIlL5nUQrjwdOvvWbeVejwvudZ2BGjLFlmL9ucVX9s1VezUOZhbLh9Qz1Huwku/U2JsT3QpORfz4ZpgWA31vZE=”等内容。通过反向分析可以发现这些文件名对应的是恶意软件的不同组件。

问题8:恶意软件连接的对象是谁?

通过分析恶意软件组件,可以看出它们连接到了某个远程服务器。具体IP地址和域名可以通过wireshark中的数据包进一步确认。

问题9:请提供所使用的私钥

为了提取私钥,我们需要分解HTTP请求中的公钥。由于密钥生成代码是基于质数生成的,质数较小的公钥更容易分解。在这里,我们可以使用提供的factor.py脚本来进行私钥的分解和提取。例如,对于第一个文件名:

bsmHSxbNLOQx6jycBS677vZFxEnvFJXHkxni3GEWa7Ed8KLspb9BewBM4jGbT9cnUCokUmCLXrBRWQJIN05YuSIlL5nUQrjwdOvvWbeVejwvudZ2BGjLFlmL9ucVX9s1VezUOZhbLh9Qz1Huwku/U2JsT3QpORfz4ZpgWA31vZE=

我们将其转换为素数并分解公钥,以便提取对应的私钥。

问题10:此次攻击的效果是什么?

根据分析,这次攻击的效果是成功安装并运行了恶意软件。恶意软件通过Reverseconnect进行通信,发送了多个HTTP请求,并尝试连接到远程服务器。

结论:

通过对日志和数据包的深入分析,可以看出攻击者通过暴力破解成功入侵系统,利用内核模块隐藏进程,并随后安装了恶意软件进行后门通信和数据窃取。这次攻击对系统安全性构成了严重威胁,管理员需要及时清理已删除的文件,并加强系统防护措施。

转载地址:http://heegz.baihongyu.com/

你可能感兴趣的文章
Mysql 常见错误
查看>>
mysql 常见问题
查看>>
MYSQL 幻读(Phantom Problem)不可重复读
查看>>
mysql 往字段后面加字符串
查看>>
mysql 快照读 幻读_innodb当前读 与 快照读 and rr级别是否真正避免了幻读
查看>>
MySQL 快速创建千万级测试数据
查看>>
mysql 快速自增假数据, 新增假数据,mysql自增假数据
查看>>
MySql 手动执行主从备份
查看>>
Mysql 批量修改四种方式效率对比(一)
查看>>
Mysql 报错 Field 'id' doesn't have a default value
查看>>
MySQL 报错:Duplicate entry 'xxx' for key 'UNIQ_XXXX'
查看>>
Mysql 拼接多个字段作为查询条件查询方法
查看>>
mysql 排序id_mysql如何按特定id排序
查看>>
Mysql 提示:Communication link failure
查看>>
mysql 插入是否成功_PDO mysql:如何知道插入是否成功
查看>>
Mysql 数据库InnoDB存储引擎中主要组件的刷新清理条件:脏页、RedoLog重做日志、Insert Buffer或ChangeBuffer、Undo Log
查看>>
mysql 数据库中 count(*),count(1),count(列名)区别和效率问题
查看>>
mysql 数据库备份及ibdata1的瘦身
查看>>
MySQL 数据库备份种类以及常用备份工具汇总
查看>>
mysql 数据库存储引擎怎么选择?快来看看性能测试吧
查看>>