博客
关于我
取证训练(二)
阅读量:733 次
发布时间:2019-03-21

本文共 1634 字,大约阅读时间需要 5 分钟。

问题1:攻击者是如何进入系统的?

通过分析wireshark中的SSH数据包,可以看出攻击者尝试了多次短暂的SSH会话。这些会话通常是暴力破解的结果,传统的单次密码或弱密码可能会导致系统被入侵。

问题2:有多少次失败的尝试?

从wireshark的数据包分析可以看到有51次短暂的SSH会话尝试。这些尝试很可能是失败的,尤其是在默认密码或弱密码的情况下。第52次和第53次会话则被认为是成功的登录尝试,这进一步支持了攻击者使用暴力破解工具如Hydra的可能性。

问题3:根据shadow.log和sudoers.log,哪些凭证用来进行登录?

shadow.log文件显示有12个用户,包括root用户。sudoers.log文件显示有5个非root用户可以通过sudo命令进行登录。这意味着这些用户有不同的权限级别,这些凭证可能被用来进行未经授权的访问尝试或正常业务操作。

问题4:恶意软件是怎么安装在受害者系统上的?

从wireshark分析中可以看出,恶意软件通过HTTP协议传输三个文件:1、2、3.文件3是一个Bash脚本,用于执行恶意操作。文件1是一个ELF64可执行文件,文件2是一个ELF可重定位文件。文件2是用于隐藏进程的内核模块,文件1是用于传输紧急包的dropper。文件3则负责安装和隐藏这些恶意组件。

问题5:恶意软件把本地文件保存在哪儿?

根据分析,恶意软件将文件保存在/var/mail/目录下。这是默认的恶意软件安装路径之一,能够隐藏文件并避开常规扫描。

问题6:ps.log中丢失了什么?

ps.log文件丢失了与恶意软件相关的信息,因为恶意软件使用内核模块隐藏了进程。这表明攻击者不仅成功侵入系统,还试图隐藏入侵证据。

问题7:恶意软件发送和接收了什么?提供文件和数据流。

从wireshark分析中可以看出,害恶意软件发送了多个HTTP请求,文件名是用base64编码的字符串表示。例如,文件名包含“/n/bsmHSxbNLOQx6jycBS677vZFxEnvFJXHkxni3GEWa7Ed8KLspb9BewBM4jGbT9cnUCokUmCLXrBRWQJIN05YuSIlL5nUQrjwdOvvWbeVejwvudZ2BGjLFlmL9ucVX9s1VezUOZhbLh9Qz1Huwku/U2JsT3QpORfz4ZpgWA31vZE=”等内容。通过反向分析可以发现这些文件名对应的是恶意软件的不同组件。

问题8:恶意软件连接的对象是谁?

通过分析恶意软件组件,可以看出它们连接到了某个远程服务器。具体IP地址和域名可以通过wireshark中的数据包进一步确认。

问题9:请提供所使用的私钥

为了提取私钥,我们需要分解HTTP请求中的公钥。由于密钥生成代码是基于质数生成的,质数较小的公钥更容易分解。在这里,我们可以使用提供的factor.py脚本来进行私钥的分解和提取。例如,对于第一个文件名:

bsmHSxbNLOQx6jycBS677vZFxEnvFJXHkxni3GEWa7Ed8KLspb9BewBM4jGbT9cnUCokUmCLXrBRWQJIN05YuSIlL5nUQrjwdOvvWbeVejwvudZ2BGjLFlmL9ucVX9s1VezUOZhbLh9Qz1Huwku/U2JsT3QpORfz4ZpgWA31vZE=

我们将其转换为素数并分解公钥,以便提取对应的私钥。

问题10:此次攻击的效果是什么?

根据分析,这次攻击的效果是成功安装并运行了恶意软件。恶意软件通过Reverseconnect进行通信,发送了多个HTTP请求,并尝试连接到远程服务器。

结论:

通过对日志和数据包的深入分析,可以看出攻击者通过暴力破解成功入侵系统,利用内核模块隐藏进程,并随后安装了恶意软件进行后门通信和数据窃取。这次攻击对系统安全性构成了严重威胁,管理员需要及时清理已删除的文件,并加强系统防护措施。

转载地址:http://heegz.baihongyu.com/

你可能感兴趣的文章
MySQL 中开启二进制日志(Binlog)
查看>>
MySQL 中文问题
查看>>
MySQL 中日志的面试题总结
查看>>
MySQL 中随机抽样:order by rand limit 的替代方案
查看>>
MySQL 为什么需要两阶段提交?
查看>>
mysql 为某个字段的值加前缀、去掉前缀
查看>>
mysql 主从 lock_mysql 主从同步权限mysql 行锁的实现
查看>>
mysql 主从互备份_mysql互为主从实战设置详解及自动化备份(Centos7.2)
查看>>
mysql 主键重复则覆盖_数据库主键不能重复
查看>>
Mysql 优化 or
查看>>
mysql 优化器 key_mysql – 选择*和查询优化器
查看>>
MySQL 优化:Explain 执行计划详解
查看>>
Mysql 会导致锁表的语法
查看>>
mysql 使用sql文件恢复数据库
查看>>
mysql 修改默认字符集为utf8
查看>>
Mysql 共享锁
查看>>
MySQL 内核深度优化
查看>>
mysql 内连接、自然连接、外连接的区别
查看>>
mysql 写入慢优化
查看>>
mysql 分组统计SQL语句
查看>>