新手也能搞定的应急响应实战：从一台被黑的Linux靶机里，如何一步步挖出攻击者的IP、邮箱和ID？

新手也能搞定的应急响应实战从被入侵的Linux靶机中追踪攻击者当你第一次面对一台被入侵的Linux服务器时那种手足无措的感觉我至今记忆犹新。屏幕上满是陌生的日志文件和可疑进程就像走进了一个犯罪现场却不知道从何查起。本文将带你体验一次完整的应急响应过程从最基本的命令行操作开始逐步揭开攻击者的真实身份。1. 应急响应前的准备工作在开始调查之前我们需要先了解几个基本概念。应急响应(Incident Response)是指对网络安全事件进行识别、分析和处理的过程。而溯源(Tracing)则是通过分析攻击痕迹追踪攻击者身份和攻击路径的技术。必备工具清单history查看命令历史记录ps/top查看系统进程netstat/ss检查网络连接grep强大的文本搜索工具base64编码/解码工具strings查看二进制文件中的可读字符串提示在进行任何操作前建议先对系统进行完整备份避免破坏关键证据。2. 初步系统检查与信息收集2.1 检查用户历史记录登录系统后第一件事就是查看命令历史记录history在输出中你可能会发现可疑的命令。比如在某次实战中我发现了这样一条记录echo cHJpbnRsbiAxOTIuMTY4LjExLjEyOQ | base64 -d解码这个base64字符串echo cHJpbnRsbiAxOTIuMTY4LjExLjEyOQ | base64 -d # 输出println 192.168.11.129这很可能就是攻击者使用的内网跳板机IP地址。2.2 检查异常进程使用以下命令查看系统进程ps aux或者更详细的查看方式ps -ef --forest重点关注不认识的进程名异常高的CPU/内存占用可疑的用户权限2.3 检查网络连接netstat -tulnp # 或 ss -tulnp查找异常的对外连接监听在非标准端口的服务来自可疑IP的连接3. 深入调查攻击痕迹3.1 分析可疑文件在/root目录下发现一个名为chuantou的目录中文穿透的拼音里面包含frpc相关文件ls -la /root/chuantou查看frpc配置文件cat /root/chuantou/frpc.toml配置文件可能包含攻击者的C2服务器地址serverAddr 156.66.33.66 serverPort 70003.2 检查Web服务日志通过历史记录发现攻击者查看了Jenkins日志cat /var/log/jenkins/jenkins.log或者在浏览器历史记录中发现访问了127.0.0.1:8080直接访问该地址发现可以未授权访问Jenkins面板并在页面上发现了攻击者留下的flagzgsf{gongzhonghaozhigongshanfangshiyanshi}3.3 检查桌面文件桌面上的password.txt文件可能包含重要信息cat ~/Desktop/password.txt虽然这个文件可能只是面板的登录凭证但有时攻击者会粗心地留下自己的信息。4. 攻击者信息整合与分析通过以上调查我们已经收集到以下关键信息信息类型具体内容内网跳板IP192.168.11.129C2服务器地址156.66.33.66被利用的服务JenkinsFlagzgsf{gongzhonghaozhigongshanfangshiyanshi}接下来需要通过这些信息进一步追踪攻击者4.1 通过IP地址追踪使用以下命令查询IP信息whois 156.66.33.664.2 通过Flag内容分析Flag内容gongzhonghaozhigongshanfangshiyanshi可能是攻击者的某种标识可以尝试在GitHub等代码平台搜索相关关键词在社交媒体平台搜索可能的用户名分析可能的拼音组合4.3 通过邮箱和ID追踪如果在系统任何地方发现了疑似攻击者的邮箱或ID如Github用户名可以使用以下方法进一步调查# 搜索Github用户 curl -s https://api.github.com/users/用户名 | jq5. 应急响应后的系统加固完成调查后别忘了修复系统漏洞修复Jenkins未授权访问漏洞删除可疑用户和文件更新所有软件到最新版本检查并修复其他可能的安全配置问题加固检查清单[ ] 修改所有用户密码[ ] 检查sudoers文件[ ] 审查crontab任务[ ] 检查SSH authorized_keys[ ] 更新系统和应用补丁在实际应急响应过程中每个线索都可能成为突破口。记得保持耐心和细心攻击者往往会在意想不到的地方留下痕迹。