首页 > 系统相关 >玄机蓝队靶场_应急响应_48:第五章 linux实战-挖矿(未作出)

玄机蓝队靶场_应急响应_48:第五章 linux实战-挖矿(未作出)

时间:2024-10-06 18:00:32浏览次数:9  
标签:文件 log 48 蓝队 日志 上传 ### 挖矿

参考:
https://blog.csdn.net/administratorlws/article/details/139995863

有机会会再做一次。

一些想法:
黑客利用web服务入侵成功站点后,一般除了留下web木马外,还会留有系统后门和病毒比如可能的挖矿病毒。
检查web渗透入口的木马,三个方式,第一个是直接从日志里面硬找,从上传的文件里找shell,第二个是在网络上看看有没有对应的版本漏洞,顺着版本漏洞去找渗透入口。然后寻找木马的方式有三个,前两个再加上用第三方检查工具检查,比如河马。
然后是寻找系统后门,后门比较难找,通常都是借助第三方工具分析和history命令来分析。病毒也是。

原本我以为不用登录网站后台去看,直接看主机上面的日志和上传的文件就行,结果不是这样,因为压根不是用框架漏洞上传文件进去的,而是弱密码进入后台,而且进入后台之后的上传木马文件的操作,日志里好像没给。通过网站后台找到了入侵的时间,还有网站自带的检测恶意脚本功能找到了恶意文件,恶意文件不是在正常的上传点,有了恶意文件,黑客就可以执行对应的系统命令,但是靶机没有给执行命令的流量日志,所以只能去看history历史执行的代码,然后发现了提权后的后门文件,之后的挖矿病毒的检测可以单独划分出来一个步骤。

`/var/log/messages` 文件是 Linux 系统中的一个重要日志文件,主要用于记录系统的各类信息和事件。具体作用包括:

### 1. **系统日志**

- 记录内核、驱动程序、系统服务等的启动和运行信息。
- 包含系统启动、关机和运行过程中的重要事件。

### 2. **应用程序日志**

- 一些应用程序和服务会将其运行时的信息写入该文件,方便管理员进行监控和故障排除。

### 3. **错误和警告信息**

- 记录系统和服务运行过程中遇到的错误、警告和其他通知,帮助管理员及时发现和解决问题。

### 4. **审计和安全**

- 用于监控和审计系统活动,是安全管理的重要组成部分。可以追踪异常行为或未授权的访问尝试。

### 5. **综合日志**

- 与其他日志文件(如 `/var/log/syslog` 或特定服务的日志)相比,`/var/log/messages` 提供了较为全面的系统状态视图。

### 结论

通过监控和分析 `/var/log/messages` 文件,系统管理员可以更好地了解系统的健康状况,及时发现并处理潜在问题。

后门总结与排查方式:

https://xz.aliyun.com/t/4090?time__1311=n4%2Bxni0QG%3DoCq2x0x05DK8eYwWkHbe5Dc7moD

setuid提权与使用(只要在提权后的文件中添加一个打开shell的命令,那么执行得到的shell就会是对应的提权后的权限)

https://www.cnblogs.com/GGbomb/p/17925136.html

标签:文件,log,48,蓝队,日志,上传,###,挖矿
From: https://www.cnblogs.com/blue-red/p/18449246

相关文章

  • U486684 「INOI2016」Brackets 题解
    首先对于回文&括号有一个经典转移:枚举分割点+区间两个端点讨论此题也是如此首先枚举分割点十分套路,如下\[dp_{i,j}=\max_{k=i}^{j-1}dp_{i,k}+dp_{k+1,j}\]如果两个端点相同\[dp_{i,j}=dp_{i+1,j-1}+v_i+v_j\]还有一个转移对于一个区间,因为是子序列,所以一个区间的子区间......
  • CF1648F Two Avenues 题解
    非常好题目,使我代码旋转。思路考虑什么样的边有贡献。我们首先提出原图的一个dfs树。处理出经过关键点的树上路径在每一条树边的经过次数\(v_i\)。我们选点会有以下几种情况。选两条割边\(i,j\),由于割边肯定是树边,所以答案就是\(v_i+v_j\)。选一条只被一条非树边覆盖......
  • 2024-3-13 气象中的常用代码 154828
    目录画图横坐标添加月份PythonMatlab空间映射标准化画图横坐标添加月份Pythonimportmatplotlib.pyplotaspltimportpandasaspdimportnumpyasnp#准备时间和温度数据start_date=pd.to_datetime('1996-12-01')#thenextdateend_date=pd.to_datetime('1998-......
  • P4859
    如果不能越级打怪还叫什么主角#include<bits/stdc++.h>namespacemy_std{ usingnamespacestd;#definerep(i,x,y)for(inti=(x);i<=(y);i++)#definedrep(i,x,y)for(inti=(x);i>=(y);i--)#definego(x)for(inti=head[x];i;i=edge[i].nxt) constlonglongmod......
  • Study Plan For Algorithms - Part48
    1.不同的二叉搜索树II给定一个整数n,请生成并返回所有由n个节点组成且节点值从1到n互不相同的不同二叉搜索树。classSolution:defgenerateTrees(self,n:int)->List[Optional[TreeNode]]:ifn==0:return[]returnself.g......
  • 【办公类-48-03】20240930每月电子屏台账汇总成docx-3(三园区合并EXCLE,批量生成3份word
    背景需求:前期电子屏汇总是“总园”用“”问卷星”、“一分园”用“腾讯文档”,二分园“用“手写word””【办公类-48-02】20240407每月电子屏台账汇总成docx-2(腾讯文档xlsx导入docx,每页20条)【办公类-48-02】20240407每月电子屏台账汇总成docx-2(腾讯文档xlsx导入docx,每页20......
  • 洛谷题单指南-分治与倍增-P6648 [CCC2019] Triangle: The Data Structure
    原题链接:https://www.luogu.com.cn/problem/P6648题意解读:在一个n行的数字三角形中,求所有边长为k的正三角形最大值之和。解题思路:1、枚举法枚举每一个边长为k的三角形,在其中求max,然后累加,n最多3000,时间复杂度是n^4,显然超时。2、倍增和ST思想此题非常类似于RMQ问题,也就是求区......
  • 洛谷每日一题(P1481 魔族密码)字典树解法
    原题目链接:P1481魔族密码-洛谷|计算机科学教育新生态(luogu.com.cn)原题目截图:思路分析:这道题的话其实有很多种方法,可以用动态规划做,不过我一看到这道题,脑子里不禁蹦出一个数据结构:“字典树”!字典树+深度优先搜索。那么在这之前,我们先来了解一下什么是字典树吧!什......
  • CF1648D Serious Business题解
    题目链接关键:DP状态的设计\(dp[i]\)表示走到\((2,i)\)的最小价值。转移分类讨论只用一个区间\(i\)从\([li,x]\)选择位置向下拐\(dp[i]=max_{li\lek\lex}(sum[1][k]+sum[2][x]-sum[2][k-1]+v[i])\)使用别的区间显然转移点小于\(li\),不然用一个区间即可。\(dp[i]=max_......
  • 校园跑腿系统二手市场校园搭子校园社团活动系统2000的和4800的有什么区别
    校园跑腿系统、二手市场、校园搭子、校园社团活动系统在不同价格档位(如2000元和4800元)之间可能存在多方面的区别,这些区别主要体现在功能丰富性、技术支持、用户体验、定制化程度以及后续服务等方面。然而,由于具体的价格差异和系统提供商的不同,以下分析是基于一般情况的推测,实际......