博客
关于我
取证训练(二)
阅读量:733 次
发布时间:2019-03-21

本文共 1634 字,大约阅读时间需要 5 分钟。

问题1:攻击者是如何进入系统的?

通过分析wireshark中的SSH数据包,可以看出攻击者尝试了多次短暂的SSH会话。这些会话通常是暴力破解的结果,传统的单次密码或弱密码可能会导致系统被入侵。

问题2:有多少次失败的尝试?

从wireshark的数据包分析可以看到有51次短暂的SSH会话尝试。这些尝试很可能是失败的,尤其是在默认密码或弱密码的情况下。第52次和第53次会话则被认为是成功的登录尝试,这进一步支持了攻击者使用暴力破解工具如Hydra的可能性。

问题3:根据shadow.log和sudoers.log,哪些凭证用来进行登录?

shadow.log文件显示有12个用户,包括root用户。sudoers.log文件显示有5个非root用户可以通过sudo命令进行登录。这意味着这些用户有不同的权限级别,这些凭证可能被用来进行未经授权的访问尝试或正常业务操作。

问题4:恶意软件是怎么安装在受害者系统上的?

从wireshark分析中可以看出,恶意软件通过HTTP协议传输三个文件:1、2、3.文件3是一个Bash脚本,用于执行恶意操作。文件1是一个ELF64可执行文件,文件2是一个ELF可重定位文件。文件2是用于隐藏进程的内核模块,文件1是用于传输紧急包的dropper。文件3则负责安装和隐藏这些恶意组件。

问题5:恶意软件把本地文件保存在哪儿?

根据分析,恶意软件将文件保存在/var/mail/目录下。这是默认的恶意软件安装路径之一,能够隐藏文件并避开常规扫描。

问题6:ps.log中丢失了什么?

ps.log文件丢失了与恶意软件相关的信息,因为恶意软件使用内核模块隐藏了进程。这表明攻击者不仅成功侵入系统,还试图隐藏入侵证据。

问题7:恶意软件发送和接收了什么?提供文件和数据流。

从wireshark分析中可以看出,害恶意软件发送了多个HTTP请求,文件名是用base64编码的字符串表示。例如,文件名包含“/n/bsmHSxbNLOQx6jycBS677vZFxEnvFJXHkxni3GEWa7Ed8KLspb9BewBM4jGbT9cnUCokUmCLXrBRWQJIN05YuSIlL5nUQrjwdOvvWbeVejwvudZ2BGjLFlmL9ucVX9s1VezUOZhbLh9Qz1Huwku/U2JsT3QpORfz4ZpgWA31vZE=”等内容。通过反向分析可以发现这些文件名对应的是恶意软件的不同组件。

问题8:恶意软件连接的对象是谁?

通过分析恶意软件组件,可以看出它们连接到了某个远程服务器。具体IP地址和域名可以通过wireshark中的数据包进一步确认。

问题9:请提供所使用的私钥

为了提取私钥,我们需要分解HTTP请求中的公钥。由于密钥生成代码是基于质数生成的,质数较小的公钥更容易分解。在这里,我们可以使用提供的factor.py脚本来进行私钥的分解和提取。例如,对于第一个文件名:

bsmHSxbNLOQx6jycBS677vZFxEnvFJXHkxni3GEWa7Ed8KLspb9BewBM4jGbT9cnUCokUmCLXrBRWQJIN05YuSIlL5nUQrjwdOvvWbeVejwvudZ2BGjLFlmL9ucVX9s1VezUOZhbLh9Qz1Huwku/U2JsT3QpORfz4ZpgWA31vZE=

我们将其转换为素数并分解公钥,以便提取对应的私钥。

问题10:此次攻击的效果是什么?

根据分析,这次攻击的效果是成功安装并运行了恶意软件。恶意软件通过Reverseconnect进行通信,发送了多个HTTP请求,并尝试连接到远程服务器。

结论:

通过对日志和数据包的深入分析,可以看出攻击者通过暴力破解成功入侵系统,利用内核模块隐藏进程,并随后安装了恶意软件进行后门通信和数据窃取。这次攻击对系统安全性构成了严重威胁,管理员需要及时清理已删除的文件,并加强系统防护措施。

转载地址:http://heegz.baihongyu.com/

你可能感兴趣的文章
MySQL5.6的Linux安装shell脚本之二进制安装(一)
查看>>
MySQL5.6的zip包安装教程
查看>>
mysql5.7 for windows_MySQL 5.7 for Windows 解压缩版配置安装
查看>>
Webpack 基本环境搭建
查看>>
mysql5.7 安装版 表不能输入汉字解决方案
查看>>
MySQL5.7.18主从复制搭建(一主一从)
查看>>
MySQL5.7.19-win64安装启动
查看>>
mysql5.7.19安装图解_mysql5.7.19 winx64解压缩版安装配置教程
查看>>
MySQL5.7.37windows解压版的安装使用
查看>>
mysql5.7免费下载地址
查看>>
mysql5.7命令总结
查看>>
mysql5.7安装
查看>>
mysql5.7性能调优my.ini
查看>>
MySQL5.7新增Performance Schema表
查看>>
Mysql5.7深入学习 1.MySQL 5.7 中的新增功能
查看>>
Webpack 之 basic chunk graph
查看>>
Mysql5.7版本单机版my.cnf配置文件
查看>>
mysql5.7的安装和Navicat的安装
查看>>
mysql5.7示例数据库_Linux MySQL5.7多实例数据库配置
查看>>
Mysql8 数据库安装及主从配置 | Spring Cloud 2
查看>>