根据网站后缀猜测开发语言及服务常见端口及对应的服务
22 ssh
445 smb 漏洞ms17-010 永恒之蓝
3306 mysql
3389 rdp远程桌面连接服务
80 http
443 https

（一）SSH爆破—模拟攻击

1.信息收集

nmap扫描目标主机的端口：
nmap IP
发现22端口开放

2.爆破ssh

hydra （略）
ssh登录命令：ssh root@IP

3.尝试创建隐藏计划任务

ssh登录后

4.尝试nc连接目标主机的shell

靶机开启监听：nc -lvp 8888

5.应急响应—事件排查

1. 查看网络连接情况 netstat -antpl
   
2. 查看守护进程
   查看进程树：pstree -p
   查看进程：systemctl status xxxx
   
   
3. 查看计划任务

4. 找到task.sh文件

6.应急响应—溯源分析

1. 分析任务文件task.sh
   
2. 查看登录日志
   
3. 总结
   

7.应急响应—事件处置

1. 删除计划任务，结束异常进程
   
2. 删除恶意文件
   
3. 修改密码，关闭root用户远程连接权限