玄机-algo挖矿

algo-挖矿

场景说明：

应急响应工程师小王周日收到手机上的服务器被植入挖矿的消息，请登录受害服务器并且提交对应的flag

步骤一：通过本地 PC SSH到服务器并且分析黑客的 IP 为多少,将黑客 IP 作为 FLAG 提交;

查看auth.log.1日志

步骤二：通过本地 PC SSH到服务器并且分析黑客挖矿程序反链 IP 为多少,将黑客挖矿程序反链的 IP 作为 FLAG 提交;

使用stat /usr/bin/dhpcd命令和file /usr/bin/dhpcd命令确认恶意文件

使用微步沙箱进行验证

发现主要进程和子进程，后续全部终止

查看网络：

![image-20240508001915427](笔记截图/image-20240508001915427.png

步骤三：通过本地 PC SSH到服务器并且分析黑客权限维持文件的md5,将文件的 MD5(md5sum /file) 作为 FLAG 提交;

查看/etc/shadow文件发现并没有什么后门文件，攻击者可能是修改了root用户的弱口令

使用“find /var/spool/cron/ -type f -exec ls -lctr –full-time {} + 2>/dev/null”命令排查计划任务，发现/var/spool/cron/root文件有被改动的痕迹，对其进行分析

步骤4：通过本地 PC SSH到服务器并且分析黑客的用户名为什么,将黑客的用户名作为 FLAG 提交;

黑客的用户名，会出现用户名的地方新增的用户，ssh密钥等，在上面查看文件并没有发现有新增的用户接下来查看ssh的配置，发现黑客的用户名