玄机蓝队靶场_应急响应_48:第五章 linux实战-挖矿(未作出)

参考：
https://blog.csdn.net/administratorlws/article/details/139995863

有机会会再做一次。

一些想法：
黑客利用web服务入侵成功站点后，一般除了留下web木马外，还会留有系统后门和病毒比如可能的挖矿病毒。
检查web渗透入口的木马，三个方式，第一个是直接从日志里面硬找，从上传的文件里找shell，第二个是在网络上看看有没有对应的版本漏洞，顺着版本漏洞去找渗透入口。然后寻找木马的方式有三个，前两个再加上用第三方检查工具检查，比如河马。
然后是寻找系统后门，后门比较难找，通常都是借助第三方工具分析和history命令来分析。病毒也是。

原本我以为不用登录网站后台去看，直接看主机上面的日志和上传的文件就行，结果不是这样，因为压根不是用框架漏洞上传文件进去的，而是弱密码进入后台，而且进入后台之后的上传木马文件的操作，日志里好像没给。通过网站后台找到了入侵的时间，还有网站自带的检测恶意脚本功能找到了恶意文件，恶意文件不是在正常的上传点，有了恶意文件，黑客就可以执行对应的系统命令，但是靶机没有给执行命令的流量日志，所以只能去看history历史执行的代码，然后发现了提权后的后门文件，之后的挖矿病毒的检测可以单独划分出来一个步骤。

`/var/log/messages` 文件是 Linux 系统中的一个重要日志文件，主要用于记录系统的各类信息和事件。具体作用包括：### 1. **系统日志**- 记录内核、驱动程序、系统服务等的启动和运行信息。
- 包含系统启动、关机和运行过程中的重要事件。### 2. **应用程序日志**- 一些应用程序和服务会将其运行时的信息写入该文件，方便管理员进行监控和故障排除。### 3. **错误和警告信息**- 记录系统和服务运行过程中遇到的错误、警告和其他通知，帮助管理员及时发现和解决问题。### 4. **审计和安全**- 用于监控和审计系统活动，是安全管理的重要组成部分。可以追踪异常行为或未授权的访问尝试。### 5. **综合日志**- 与其他日志文件（如 `/var/log/syslog` 或特定服务的日志）相比，`/var/log/messages` 提供了较为全面的系统状态视图。### 结论通过监控和分析 `/var/log/messages` 文件，系统管理员可以更好地了解系统的健康状况，及时发现并处理潜在问题。

后门总结与排查方式：

https://xz.aliyun.com/t/4090?time__1311=n4%2Bxni0QG%3DoCq2x0x05DK8eYwWkHbe5Dc7moD

setuid提权与使用(只要在提权后的文件中添加一个打开shell的命令，那么执行得到的shell就会是对应的提权后的权限)

https://www.cnblogs.com/GGbomb/p/17925136.html