根据网站后缀猜测开发语言及服务常见端口及对应的服务
22 ssh
445 smb 漏洞ms17-010 永恒之蓝
3306 mysql
3389 rdp远程桌面连接服务
80 http
443 https
(一)SSH爆破—模拟攻击
1.信息收集
nmap扫描目标主机的端口:
nmap IP
发现22端口开放
2.爆破ssh
hydra (略)
ssh登录命令:ssh root@IP
3.尝试创建隐藏计划任务
ssh登录后
4.尝试nc连接目标主机的shell
靶机开启监听:nc -lvp 8888
5.应急响应—事件排查
- 查看网络连接情况
netstat -antpl
- 查看守护进程
查看进程树:pstree -p
查看进程:systemctl status xxxx
- 查看计划任务
4. 找到task.sh文件
6.应急响应—溯源分析
- 分析任务文件task.sh
- 查看登录日志
- 总结
7.应急响应—事件处置
- 删除计划任务,结束异常进程
- 删除恶意文件
- 修改密码,关闭root用户远程连接权限