Cubrimos un escenario de respuesta a incidentes de HackTheBox llamado PersistenceIsFutile en el que revisamos una máquina Linux infectada y se nos pidió que remediaramos y limpiáramos cualquier indicio de persistencia y escalada de privilegios. Verificamos el historial de bash, crontab, los procesos en ejecución y los binarios de bits SUID para eliminar cualquier indicador de compromiso, incluidos shells inversos, puertas traseras y binarios desconocidos. Esto fue parte de HackTheBox PersistenciaFútil.
Obtenga notas del certificado OSCP
El curso completo de pruebas de penetración con BackBox
Los piratas informáticos llegaron a uno de nuestros servidores de producción 😅. Lo hemos aislado de Internet hasta que podamos limpiar la máquina. El equipo de IR informó ocho puertas traseras diferentes en el servidor, pero no dijo cuáles eran y no podemos comunicarnos con ellas. Necesitamos que este servidor vuelva a funcionar lo antes posible; estamos perdiendo dinero cada segundo que no funciona. Encuentre las ocho puertas traseras (tanto de acceso remoto como de escalada de privilegios) y elimínelas. Una vez que hayas terminado, ejecuta /root/solveme como raíz verificar. Tienes acceso SSH y sudo derechos sobre la caja con los detalles de conexiones adjuntos a continuación.
nombre de usuario: usuario
contraseña: hackear la caja
Vídeos destacados
Las ubicaciones que verificamos para eliminar el malware y la persistencia fueron:
- Historial de Bash para las cuentas de usuario y raíz: eliminamos el shell inverso y el oyente llamado alertd.
- Pestañas cron: eliminamos pyssh y access-up de cron.daily y eliminamos el archivo cron en /var/spool/cron/crontabs/user.
- Procesos en ejecución: eliminamos el proceso de verificación de conectividad y eliminamos todos sus archivos y binarios asociados.
- El archivo de usuarios /etc/passwd: desactivamos el shell de inicio de sesión de los usuarios gnats y configuramos el ID del grupo en 41.
- Binarios de bits SUID: eliminamos 6 binarios.
Tutorial en vídeo
