玄机alog挖矿应急
这里我主要介绍一下思路,因为我在做的时候发现可能是环境的问题,有时候同一个命令的执行结果是不一样的,有时候有结果,有时候啥都没有。
1.首先要认识这里是靶场,所以此时的设备并没有与靶场建立连接,而是处于断开连接的状态,我们要做的就是上机排查相关日志、权限维持的相关手段等,还原攻击者的链路和人物画像。
2.crontab -l 查看计划任务,找到了可疑的执行文件
3.计算文件的md5值,然后放到微步上分析一下,确定是恶意文件,然后也可以分析出来相关的恶意ip
4.排查ssh公钥后门文件,里面有黑客用户名称。但是在passwd和影子文件里面是没有这个账户的,这里我不太明白。
原文地址:https://blog.csdn.net/m0_74196038/article/details/140642753
免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!