Nous avons couvert un scénario de réponse aux incidents de HackTheBox nommé PersistenceIsFutile dans lequel nous avons examiné une machine Linux infectée et nous avons dû corriger et nettoyer toute indication de persistance et d'élévation de privilèges. Nous avons vérifié l'historique bash, crontab, les processus en cours d'exécution et les binaires de bits SUID pour supprimer tout indicateur de compromission, y compris les shells inversés, les portes dérobées et les binaires inconnus. Cela faisait partie de HackTheBox PersistanceFutile.

Obtenir les notes du certificat OSCP

Le cours complet de tests d'intrusion avec BackBox

DESCRIPTION DU DÉFI

Des pirates ont réussi à s'introduire sur l'un de nos serveurs de production 😅. Nous l'avons isolé d'Internet jusqu'à ce que nous puissions nettoyer la machine. L'équipe IR a signalé huit portes dérobées différentes sur le serveur, mais n'a pas précisé de quoi il s'agissait et nous ne pouvons pas les contacter. Nous devons remettre ce serveur en production dès que possible – nous perdons de l'argent à chaque seconde de panne. Veuillez trouver les huit portes dérobées (accès à distance et élévation de privilèges) et supprimez-les. Une fois que vous avez terminé, courez /root/solveme comme racine vérifier. Vous disposez d'un accès SSH et sudo droits sur la box avec les détails de connexions ci-joints.
nom d'utilisateur: utilisateur
mot de passe: pirater la boîte

Faits saillants de la vidéo

Les emplacements que nous avons vérifiés pour supprimer les logiciels malveillants et la persistance étaient :

  • Historique Bash pour les comptes utilisateur et root : nous avons supprimé le shell inversé et l'écouteur nommé alertd.
  • Onglets Cron : nous avons supprimé pyssh et access-up de cron.daily et supprimé le fichier cron sous /var/spool/cron/crontabs/user.
  • Processus en cours d'exécution : nous avons supprimé le processus de vérification de la connectivité et supprimé tous ses fichiers et binaires associés.
  • Le fichier utilisateurs /etc/passwd : nous avons désactivé le shell de connexion de l'utilisateur moucherons et défini l'ID de groupe sur 41.
  • Binaires de bits SUID : nous avons supprimé 6 binaires.

Vidéo pas à pas

, , ,
Montrer les Commentaires

Motasem

A propos de l'Auteur

Je crée des notes de cybersécurité, des notes de marketing numérique et des cours en ligne. Je fournis également des conseils en marketing numérique, y compris, mais sans s'y limiter, le référencement, les publicités Google et Meta et l'administration CRM.

Voir les Articles