一次HTB的清除后門之旅

PersistenceIsFutile

Hackers made it onto one of our production servers ?. We've isolated it from the internet until we can clean the machine up. The IR team reported eight difference backdoors on the server, but didn't say what they were and we can't get in touch with them. We need to get this server back into prod ASAP - we're losing money every second it's down. Please find the eight backdoors (both remote access and privilege escalation) and remove them. Once you're done, run /root/solveme as root to check. You have SSH access and sudo rights to the box with the connections details attached below.

代碼片段：可切換語言，無法單獨設置文字格式

大概的意思是他這個服務器上面有8個后門，全部修完后可以運行/root/solveme來看完成的程度。

首先看下進程有什么奇奇怪怪的，發現有好幾次名字一樣的進程。

正常應用來說是不會開那么多個進程的，先把他停了，跟進去看下是什么內容。

好家伙，一直在彈shell，rm -rf直接上，保守起見，看還有什么關聯這個的。果不其然還有一個有關聯的。

進程這邊看到和計劃任務有點關系，crontab -l看下還有啥奇怪的東西在計劃里的。還真有的，注釋注釋。

cd 到cron里面去看看，說了8個，肯定這里不止一個。

發現一個access-u定時腳本，在sbin或bin目錄下面創建6個隨機英文字符的后門文件，先把這個定時rm了，然后find 把這些文件給找出來并刪除了

然后后面有一個pyssh定時腳本，是利用定時注冊ssh來達到后門效果。刪刪刪。

其他的定時任務暫無發現有奇怪的點，把目光轉向了系統用戶這個角度上，有個gnats用戶十分奇怪，居然是可以登錄的全，還是root組，看來是修改的后門用戶，改。

插一句，剛才find / -perm -4755 2>/dev/null時候發現有個文件十分奇怪，用sudo執行時root權限，保險起見還是刪除了。

其實到這里，基本的操作我都弄完，其實也沒有夠8個，下面這個是我苦惱的時候運行ls -al發現的。居然user家目錄下面有root創建的文件，有點可疑，然后看戲內容，bingo。

最后一個是網上看了tips的，因為環境運行時候并沒有網上別人運行的樣子，這個就算了。

最后還是把這個弄完了，總結來說就是：還是腳本香，一鍵出結果。但其實腳本也是人寫，別人能寫出來這些，說明人家是對這些內容是熟練掌握，熟練用腳本真不難，熟悉腳本內容并把自己的發現的文件改進并寫出自己的腳本，那就才是說明把握到家了，最后還是不要臉的貼下結果和微信號吧