博客
关于我
取证训练(二)
阅读量:733 次
发布时间:2019-03-21

本文共 1634 字,大约阅读时间需要 5 分钟。

问题1:攻击者是如何进入系统的?

通过分析wireshark中的SSH数据包,可以看出攻击者尝试了多次短暂的SSH会话。这些会话通常是暴力破解的结果,传统的单次密码或弱密码可能会导致系统被入侵。

问题2:有多少次失败的尝试?

从wireshark的数据包分析可以看到有51次短暂的SSH会话尝试。这些尝试很可能是失败的,尤其是在默认密码或弱密码的情况下。第52次和第53次会话则被认为是成功的登录尝试,这进一步支持了攻击者使用暴力破解工具如Hydra的可能性。

问题3:根据shadow.log和sudoers.log,哪些凭证用来进行登录?

shadow.log文件显示有12个用户,包括root用户。sudoers.log文件显示有5个非root用户可以通过sudo命令进行登录。这意味着这些用户有不同的权限级别,这些凭证可能被用来进行未经授权的访问尝试或正常业务操作。

问题4:恶意软件是怎么安装在受害者系统上的?

从wireshark分析中可以看出,恶意软件通过HTTP协议传输三个文件:1、2、3.文件3是一个Bash脚本,用于执行恶意操作。文件1是一个ELF64可执行文件,文件2是一个ELF可重定位文件。文件2是用于隐藏进程的内核模块,文件1是用于传输紧急包的dropper。文件3则负责安装和隐藏这些恶意组件。

问题5:恶意软件把本地文件保存在哪儿?

根据分析,恶意软件将文件保存在/var/mail/目录下。这是默认的恶意软件安装路径之一,能够隐藏文件并避开常规扫描。

问题6:ps.log中丢失了什么?

ps.log文件丢失了与恶意软件相关的信息,因为恶意软件使用内核模块隐藏了进程。这表明攻击者不仅成功侵入系统,还试图隐藏入侵证据。

问题7:恶意软件发送和接收了什么?提供文件和数据流。

从wireshark分析中可以看出,害恶意软件发送了多个HTTP请求,文件名是用base64编码的字符串表示。例如,文件名包含“/n/bsmHSxbNLOQx6jycBS677vZFxEnvFJXHkxni3GEWa7Ed8KLspb9BewBM4jGbT9cnUCokUmCLXrBRWQJIN05YuSIlL5nUQrjwdOvvWbeVejwvudZ2BGjLFlmL9ucVX9s1VezUOZhbLh9Qz1Huwku/U2JsT3QpORfz4ZpgWA31vZE=”等内容。通过反向分析可以发现这些文件名对应的是恶意软件的不同组件。

问题8:恶意软件连接的对象是谁?

通过分析恶意软件组件,可以看出它们连接到了某个远程服务器。具体IP地址和域名可以通过wireshark中的数据包进一步确认。

问题9:请提供所使用的私钥

为了提取私钥,我们需要分解HTTP请求中的公钥。由于密钥生成代码是基于质数生成的,质数较小的公钥更容易分解。在这里,我们可以使用提供的factor.py脚本来进行私钥的分解和提取。例如,对于第一个文件名:

bsmHSxbNLOQx6jycBS677vZFxEnvFJXHkxni3GEWa7Ed8KLspb9BewBM4jGbT9cnUCokUmCLXrBRWQJIN05YuSIlL5nUQrjwdOvvWbeVejwvudZ2BGjLFlmL9ucVX9s1VezUOZhbLh9Qz1Huwku/U2JsT3QpORfz4ZpgWA31vZE=

我们将其转换为素数并分解公钥,以便提取对应的私钥。

问题10:此次攻击的效果是什么?

根据分析,这次攻击的效果是成功安装并运行了恶意软件。恶意软件通过Reverseconnect进行通信,发送了多个HTTP请求,并尝试连接到远程服务器。

结论:

通过对日志和数据包的深入分析,可以看出攻击者通过暴力破解成功入侵系统,利用内核模块隐藏进程,并随后安装了恶意软件进行后门通信和数据窃取。这次攻击对系统安全性构成了严重威胁,管理员需要及时清理已删除的文件,并加强系统防护措施。

转载地址:http://heegz.baihongyu.com/

你可能感兴趣的文章
Mysql8 数据库安装及主从配置 | Spring Cloud 2
查看>>
mysql8 配置文件配置group 问题 sql语句group不能使用报错解决 mysql8.X版本的my.cnf配置文件 my.cnf文件 能够使用的my.cnf配置文件
查看>>
MySQL8.0.29启动报错Different lower_case_table_names settings for server (‘0‘) and data dictionary (‘1‘)
查看>>
MYSQL8.0以上忘记root密码
查看>>
Mysql8.0以上重置初始密码的方法
查看>>
mysql8.0新特性-自增变量的持久化
查看>>
Mysql8.0注意url变更写法
查看>>
Mysql8.0的特性
查看>>
MySQL8修改密码报错ERROR 1819 (HY000): Your password does not satisfy the current policy requirements
查看>>
MySQL8修改密码的方法
查看>>
Mysql8在Centos上安装后忘记root密码如何重新设置
查看>>
Mysql8在Windows上离线安装时忘记root密码
查看>>
MySQL8找不到my.ini配置文件以及报sql_mode=only_full_group_by解决方案
查看>>
mysql8的安装与卸载
查看>>
MySQL8,体验不一样的安装方式!
查看>>
MySQL: Host '127.0.0.1' is not allowed to connect to this MySQL server
查看>>
Mysql: 对换(替换)两条记录的同一个字段值
查看>>
mysql:Can‘t connect to local MySQL server through socket ‘/var/run/mysqld/mysqld.sock‘解决方法
查看>>
MYSQL:基础——3N范式的表结构设计
查看>>
MYSQL:基础——触发器
查看>>