这是一个简单的应急响应场景,介绍下基础的一些东西,分为Windows和Linux,系统日志和Apache日志都已被删除。
Windows系统
1.设置445端口,防御永恒之蓝
2.查看隐藏用户
3.查看木马后门
1.设置445端口连接,防御永恒之蓝
打开CMD输出netstat -ano 发现开启了445端口,可能存在永恒之蓝漏洞:
这里使用MSF检测出可能存在永恒之蓝漏洞:
设置445端口的连接,点击电脑左下角的开始,选择Control Panel ,点击System and Security,选择Windows Firewall,发现防火墙是关闭的,开启防火墙:
点击Advanced settings,设置入站规则,点击Inbound Rules,选择New Rule:
选择Port,点击Next:
选择TCP,输入445,点击Next:
选择阻止连接,点击Next:
选择默认的即可,点击Next:
输出名称,点击完成:
2.查看隐藏用户
打开CMD,输入net user查看用户,显示正常,没有新增用户:
点击电脑右下角的开始,选择电脑,点击管理,打开Computer Management,查看本地用户和组,发现了隐藏的用户,hellen$:
选中hellen$,右击,选择删除即可:
3.查看木马后门
netstat -ano 可以看到有个进程一直在向外请求,并且它的PID是2104:
tasklist 通过PID可以看到向外进行请求的应用是 tPFOADlQikOUS.exe:
dir /b /s tPFOADlQikOUS.exe,查找tPFOADlQikOUS.exe的位置:
taskkill /f /im tPFOADlQikOUS.exe,结束其进程:
删除应用 tPFOADlQikOUS.exe,发现删除不了,猜测可能这可能就是个僚机,此时还未找到真正的木马后门:
打开任务管理器,发现另一个进程,两个进程一起结束,会很快自启:
Windows下自启动的一般有两个位置,第一个是将应用快捷拖到Startup目录下,第二个是注册表,后面的操作会从这两方面进行排除。
Win10增加自启动
方法1:win+r 输入: shell:startup,就可以打开启动文件夹了,然后把需要开机自启的exe快捷方式拷贝进去即可
方法2:或者直接打开这个文件夹:C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp,然后把需要开机自启的exe快捷方式拷贝进去即可
Win7增加自启动
点击Win7系统开始百菜单,选择最下面的“所有程序(All Programs)”菜单、
在所有程序列表中,找到“启动(Startup)”文件夹;
右键点击启动文件夹,选择“打开”选项;
打知开系统启动文件夹页面之道后,将软件快捷方式图标拖动到该文件夹中;
软版件快捷方式图标加入到该文件夹目录下之后,系统将在开机的权时候自动启动该软件。
首先查看Startup的目录下是否有应用,发现并没有文件:
输入msconfig,选择Startup,看到三个未知的异常自启(agent_server是平台自带的),并得到文件路径和注册表的路径:
注册表是以 HKLM 开头其实就是HKEY_LOCAL_MACHINE
打开文件路径,找到可疑文件,这里先不进行删除:
先进入注册表删除可疑文件对应的注册表:
这时再去删除后缀是vbs的三个可疑文件,重启机器检验下,发现没有回连了,tPFOADlQikOUS.exe也没了:
像这种加入自启动的木马后门,需要先取消掉自启动再去删除木马后门,两个缺一不可。只删除后门文件,机器重启后,后门还会存在且自启。
Linux系统(Web服务器)
1.删除上传的木马
2.删除内存马
3.排除定时任务
4.修改Mysql数据库弱密码
1.删除上传的木马
将/var/www/html目录下的源码拖下来,利用RIPS进行扫描:
发现两个疑似有一句话木马的文件,0x0.php和.skil.php:
读取/var/www/html/uploadfile/member/3/0x0.php,发现它的内容是一句话木马,删除它:
2.删除内存马
读取 /var/www/html/uploadfile/member/.skil.php,发现也是一句话木马,删除掉后很快又恢复了,猜测应该是内存马之类的:
删除内存马(不死马),可以先停止Apache服务,再去删除木马,这里发现删除成功:
3.排除定时任务
crontab -l 发现一个未知的定时任务:
读取该文件发现是一个Python反弹shell的脚本,删除它:
4.修改Mysql数据库弱密码
检测出Myslq的root用户是弱密码:
查看配置文件:/var/www/html/config/database.php,发现用户cms也是弱密码:
这里修改弱密码即可,Mysql修改密码的使用命令:
方法一:mysql> set password for 用户名@'localhost' = password("新密码");
方法二:mysqladmin -u用户名 -p旧密码 password 新密码
这里就结束应急响应的场景流程了。
大佬顺手给个赞呗 0.0
