入门应急响应

这是一个简单的应急响应场景，介绍下基础的一些东西，分为Windows和Linux，系统日志和Apache日志都已被删除。

Windows系统

1.设置445端口，防御永恒之蓝

2.查看隐藏用户

3.查看木马后门

1.设置445端口连接，防御永恒之蓝

打开CMD输出netstat -ano 发现开启了445端口，可能存在永恒之蓝漏洞：

这里使用MSF检测出可能存在永恒之蓝漏洞：

设置445端口的连接，点击电脑左下角的开始，选择Control Panel ，点击System and Security，选择Windows Firewall，发现防火墙是关闭的，开启防火墙：

点击Advanced settings，设置入站规则，点击Inbound Rules，选择New Rule:

选择Port，点击Next:

选择TCP，输入445，点击Next：

选择阻止连接，点击Next：

选择默认的即可，点击Next：

输出名称，点击完成：

2.查看隐藏用户

打开CMD，输入net user查看用户，显示正常，没有新增用户:

点击电脑右下角的开始，选择电脑，点击管理，打开Computer Management，查看本地用户和组，发现了隐藏的用户，hellen$：

选中hellen$，右击，选择删除即可：

3.查看木马后门

netstat -ano 可以看到有个进程一直在向外请求，并且它的PID是2104:

tasklist 通过PID可以看到向外进行请求的应用是 tPFOADlQikOUS.exe:

dir /b /s tPFOADlQikOUS.exe，查找tPFOADlQikOUS.exe的位置：

taskkill /f /im tPFOADlQikOUS.exe，结束其进程：

删除应用 tPFOADlQikOUS.exe，发现删除不了，猜测可能这可能就是个僚机，此时还未找到真正的木马后门：

打开任务管理器，发现另一个进程，两个进程一起结束，会很快自启：

Windows下自启动的一般有两个位置，第一个是将应用快捷拖到Startup目录下，第二个是注册表，后面的操作会从这两方面进行排除。

Win10增加自启动

方法1：win+r 输入: shell:startup，就可以打开启动文件夹了，然后把需要开机自启的exe快捷方式拷贝进去即可

方法2：或者直接打开这个文件夹：C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp，然后把需要开机自启的exe快捷方式拷贝进去即可

Win7增加自启动

点击Win7系统开始百菜单，选择最下面的“所有程序(All Programs)”菜单、

在所有程序列表中，找到“启动(Startup)”文件夹；

右键点击启动文件夹，选择“打开”选项；

打知开系统启动文件夹页面之道后，将软件快捷方式图标拖动到该文件夹中；

软版件快捷方式图标加入到该文件夹目录下之后，系统将在开机的权时候自动启动该软件。

首先查看Startup的目录下是否有应用，发现并没有文件：

输入msconfig，选择Startup，看到三个未知的异常自启（agent_server是平台自带的），并得到文件路径和注册表的路径:

注册表是以 HKLM 开头其实就是HKEY_LOCAL_MACHINE

打开文件路径，找到可疑文件，这里先不进行删除：

先进入注册表删除可疑文件对应的注册表：

这时再去删除后缀是vbs的三个可疑文件，重启机器检验下，发现没有回连了，tPFOADlQikOUS.exe也没了：

像这种加入自启动的木马后门，需要先取消掉自启动再去删除木马后门，两个缺一不可。只删除后门文件，机器重启后，后门还会存在且自启。

Linux系统(Web服务器)

1.删除上传的木马

2.删除内存马

3.排除定时任务

4.修改Mysql数据库弱密码

1.删除上传的木马

将/var/www/html目录下的源码拖下来，利用RIPS进行扫描：

发现两个疑似有一句话木马的文件，0x0.php和.skil.php：

读取/var/www/html/uploadfile/member/3/0x0.php，发现它的内容是一句话木马，删除它：

2.删除内存马

读取 /var/www/html/uploadfile/member/.skil.php，发现也是一句话木马，删除掉后很快又恢复了，猜测应该是内存马之类的：

删除内存马(不死马)，可以先停止Apache服务，再去删除木马，这里发现删除成功：

3.排除定时任务

crontab -l 发现一个未知的定时任务：

读取该文件发现是一个Python反弹shell的脚本，删除它：

4.修改Mysql数据库弱密码

检测出Myslq的root用户是弱密码：

查看配置文件：/var/www/html/config/database.php，发现用户cms也是弱密码：

这里修改弱密码即可，Mysql修改密码的使用命令：

方法一：mysql> set password for 用户名@'localhost' = password("新密码");

方法二：mysqladmin -u用户名 -p旧密码 password 新密码  

这里就结束应急响应的场景流程了。

大佬顺手给个赞呗 0.0