简单的应急响应练习

利用Windows server 2003简单搭建一个存在木马的靶机，供同学们接触了解应急响应的基础技巧

场景如下：

存在一台web服务器，已被入侵，如何去排查解决此次安全事件

首先根据通常经验，会查一下服务器外联情况，

通过netstat -ano查看，发现PID 2332存在不正常的外部链接

通过PID定位到具体进程,发现为hack.exe，

通过进程名找对应的进程路径

wmic process where name="hack.exe" get processid,executablepath,name

 发现恶意程序在C盘根目录，且修改时间为2023-11-24 10:39

 由于是web服务器，首先查一下web日志

根据木马生成时间，查找相近时间日志

发现访问了相关网页路径，并上传了webshell

 查看对应路径的webshell

 确认为一句话木马

 此时可以确定攻击路径为

文件上传漏洞>上传webshell 时间为2023-11-24 10:37>上传远控木马 时间为2023-11-24 10:39

恶意IP为192.168.242.1 和 192.168.242.131

确认攻击路径后，对恶意程序和文件进行删除，并排查启动项和计划任务等

查看启动项

 发现远控木马随系统启动

 删除对应启动项

 再检查计划任务，无计划任务

设置靶场时的注意点：

access.log默认不开启，需要修改配置文件

添加启动项命令为 reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun" /v hack /t REG_SZ /d "C:hack.exe"

注意路径符号为

相关知识

简单的应急响应练习
应急响应靶机
应急响应练习1
【应急响应靶场web1】
应急响应练习2
【护网急训】应急响应靶场集，24年想参加hvv的同学抓紧练习吧。
[护网训练]应急响应靶机整理
基于应急响应体系下的专业消防能力
[护网训练]原创应急响应靶机整理集合
前来挑战！应急响应靶机训练

网址: 简单的应急响应练习 https://www.mcbbbk.com/newsview206358.html