应急靶场(6)：Linux1

一、黑客的IP地址

使用命令cat /var/log/secure | grep Failed | cut -d ' ' -f 11 | sort | uniq -c | sort -nr发现192.168.75.129爆破91次ssh口令，使用命令cat /var/log/secure | grep Accepted发现192.168.75.129最终成功登录ssh服务。

使用lastb命令发现192.168.75.129存在大量登录失败日志。

因此判断黑客的IP地址是192.168.75.129。

二、遗留下的三个flag

第一个flag

开展后门排查。使用命令cat /etc/passwd和cat /etc/passwd | grep -v nologin，未发现黑客创建的后门帐号。

使用命令find /var/spool/cron -type f -exec ls -lctr --full-time {} \+ 2>/dev/null和find /etc/*cron* -type f -exec ls -lctr --full-time {} \+ 2>/dev/null，未发现攻击者创建的计划任务。

使用命令find /etc/rc*d -type f -exec ls -lctr --full-time {} \+ 2>/dev/null，发现黑客创建的启动项/etc/rc.d/rc.local，内含flag：flag{kfcvme50}。

第二个flag

使用命令history排查历史命令，发现黑客曾经打印过flag：flag{thisismybaby}。

第三个flag

使用命令find / -newerct '2024-03-18 20:20:00' ! -newerct '2024-03-18 20:30:00' ! -path "/proc/*" ! -path "/sys/*" ! -path "/run/*" ! -path "/private/*" -type f 2>/dev/null | sort排查黑客攻击期间上传或修改过的文件，发现/var/lib/redis/dump.rdb存在ssh密钥，疑似攻击者通过redis弱口令漏洞上传ssh密钥。

使用命令cat /var/log/redis/redis.log查看redis日志，发现黑客IP是192.168.75.129。

使用命令cat /etc/redis.conf查看redis配置，发现flag：flag{P@ssW0rd_redis}。