【应急响应】记一次dev服务器被黑的应急响应过程

文章预览

记一次dev服务器被黑的应急响应过程 小王急匆匆地找到小张，小王说"李哥，我dev服务器被黑了",快救救我！！ 挑战内容： 1.黑客的IP地址 2.遗留下的三个flag 靶场获取地址： 下载地址 https://pan.quark.cn/s/4b6dffd0c51a 解压后直接用Vmware打开即可 。 相关账户密码： defend/defend root/defend 蓝队工具箱获取地址： Github地址： https://github.com/ChinaRan0/BlueTeamTools 蓝队工具箱v2024.7 https://pan.quark.cn/s/6d7856efd1d1 1.黑客的IP地址 直接上火麒麟 https: //github.com/MountCloud/FireKylin 直接上 LinuxCheck 脚本 https: //github.com/al0ne/LinuxCheck 黑客暴力破解的IP：192.168.75.129 看一眼，redis日志文件等级 cat /etc/redis.conf | grep loglevel 发现为verbose,直接去找redis日志文件 看一下连接日志 cat /var/ log /redis/redis. log | grep Accept 黑客Redis连接的IP还是192.168.75.129 黑客ip： 192.168.75.129 2.遗留下的三个flag falg1：flag{t ………………………………