前言

作者这一次也是差一点一次过，因为没有经验的原因，或者说题目对问题描述不太对，如果说是求黑客反连的ip的话我或许就知道要执行一下留下来的那个 .elf 可疑文件.

简介

账号：root 密码：linuxruqin ssh root@IP 1.web目录存在木马，请找到木马的密码提交 2.服务器疑似存在不死马，请找到不死马的密码提交 3.不死马是通过哪个文件生成的，请提交文件名 4.黑客留下了木马文件，请找出黑客的服务器ip提交 5.黑客留下了木马文件，请找出黑客服务器开启的监端口提交 。

应急开始

准备工作

• 题目说明了web目录下存在木马，为了节省时间，连上服务器后直接cd /var/www/html (不是这个的话再另外找目录，一般是这个目录。)
• 进入目录后直接导出来，准备webshell查杀工具
  我这里用D盾和河马扫一遍
  
  

这里使用河马发现他每次误报都好多，看来不更新后已经快跟不上了.

同时找到了几个webshell文件分别是:

• 1.php
• .shell.php
• index.php
• 注意：'shell(1).elf' 这个是反连黑客服务器的程序文件。
  这个文件是elf可执行文件，名字已经很明显了，但是我经验比较少且比较犟，就一直看log日志去了，没有想到这个是反连的程序文件，但是我主要还是题目问题描述有问题吧，要是改成反连过去的黑客ip我肯定优先执行该文件。

---

步骤 1

1.web目录存在木马，请找到木马的密码提交 。

• webshell查杀工具扫描出来后，直接看最明显的一句话木马就是1.php
  
• flag为：
  flag{1}

步骤 2

2.服务器疑似存在不死马，请找到不死马的密码提交 。

• 不死马（杀不死的马）
  其实就是通过一个脚本不停的去检测另外一个木马是否存在，不存在的话就创建出来，然后该检测脚本一般来说会定期执行去检测另外的；不死webshell木马是否存在。
  题目使用除了1.php后，可以发现是index.php不停的去检测和创建不死马，创建.shell.php这个不死webshell木马，创建.符号开头也很明确了，就是为了创建隐藏webshell连接木马。
• 不死马连接密码
  
  5d41402abc4b2a76b9719d911017c592 == md5(hello)
  
• flag为：
  flag{hello}

步骤 3

3.不死马是通过哪个文件生成的，请提交文件名 。

• 在步骤2中，我们已经分析出来index.php是创建不死马的，所以flag就直接出来了。
• flag为：
  flag{index.php}

步骤 4

4.黑客留下了木马文件，请找出黑客的服务器ip提交 。

• 这里确实是一个坑，题目要是改成：请找出反连黑客的服务器ip，我必定先去运行一下 /var/www/html 目录下的 'shell(1).elf' 文件，因为很明显了。
  直接执行的话执行不了，因为没有x执行权限，加权限即可：

  root@ip-10-0-10-1:/var/www/html# chmod +x shell\(1\).elf
  root@ip-10-0-10-1:/var/www/html# ./shell\(1\).elf &
  

• netstat -alntup #查看一下连接情况（看连接程序文件名字为.shell(1).elf的即可）
  
• flag为：
  flag{10.11.55.21}

步骤5

5.黑客留下了木马文件，请找出黑客服务器开启的监端口提交 。

• 步骤4了解后，那么端口号也知道了
• flag为：
  flag{3333}

总结

---

成果： flag{1} flag{hello} flag{index.php} flag{10.11.55.21} flag{3333} 。

---

其实将样本备份出来后，分析完成后，应该要删除掉服务器上面所有webshell文件和后门，并且进行一轮入侵排查。 做完这题的感受就是，在做应急之前的准备工作很重要，虽然这次依旧是10金币的时间做完，但是已经相比之前快了很多，能够逐渐熟悉整个应急流程了。其实很学到了不死马这个词语，说实话作者真的是菜鸟一个，好多术语名词都没有真正去了解和熟悉认识，通过做题来弥补也挺好。 （注：本题目在第一章中属于中等难度，相比另外两个题目难度大的，所以我是按照难度来做的先后顺序，所以我才觉得熟练了） 。

最后此篇关于玄机-第一章应急响应-Linux入侵排查的文章就讲到这里了,如果你想了解更多关于玄机-第一章应急响应-Linux入侵排查的内容请搜索CFSDN的文章或继续浏览相关文章，希望大家以后支持我的博客！ 。