Abbiamo coperto uno scenario di risposta a un incidente di HackTheBox denominato PersistenceIsFutile in cui abbiamo esaminato una macchina Linux infetta e ci è stato richiesto di rimediare e ripulire qualsiasi indicazione di persistenza e escalation di privilegi. Abbiamo controllato la cronologia di bash, crontab, processi in esecuzione e file binari SUID per rimuovere qualsiasi indicatore di compromissione, inclusi shell inverse, backdoor e file binari sconosciuti. Questo faceva parte di HackTheBox PersistenzaFutile.
Ottieni le note sul certificato OSCP
Il corso completo di Penetration Test con BackBox
Gli hacker sono riusciti a penetrare in uno dei nostri server di produzione 😅. Lo abbiamo isolato da Internet finché non riusciremo a ripulire la macchina. Il team IR ha segnalato otto backdoor differenti sul server, ma non ha detto quali fossero e non possiamo metterci in contatto con loro. Dobbiamo rimettere in produzione questo server il prima possibile: stiamo perdendo soldi ogni secondo che non funziona. Individua le otto backdoor (sia accesso remoto che escalation dei privilegi) e rimuovile. Una volta finito, corri /root/risolvere COME radice controllare. Hai accesso SSH e sudo diritti sulla scatola con i dettagli dei collegamenti allegati di seguito.
nome utente: utente
parola d'ordine: hackthebox
Video in evidenza
Le posizioni che abbiamo controllato per rimuovere malware e persistenza sono state:
- Cronologia Bash sia per l'account utente che per quello root: abbiamo rimosso la shell inversa e il listener denominato alertd.
- Schede cron: abbiamo rimosso pyssh e access-up da cron.daily e rimosso il file cron in /var/spool/cron/crontabs/user.
- Processi in esecuzione: abbiamo interrotto il processo di controllo della connettività e rimosso tutti i file e i file binari associati.
- Il file degli utenti /etc/passwd: abbiamo disabilitato la shell di login dell'utente gnats e impostato l'ID del gruppo su 41.
- Binari bit SUID: abbiamo rimosso 6 binari.
Videoprocedura dettagliata