2025solar应急响应9月月赛

solar应急响应月赛-9月赛

特洛伊挖矿木马事件排查

你是一名初级安全工程师，运维团队报告，公司的一台核心开发服务器（Ubuntu 22.04 LTS）出现CPU使用率异常飙高告警及安全设备检出外联挖矿事件。现在，你需要登录该服务器，排查并处置这一安全事件，并最终找出问题的根源。账号：root，密码：P@ssw0rd

任务1

任务名称：提交挖矿文件的绝对路径

任务分数：100.00

任务类型：静态Flag

提交挖矿文件的绝对路径，最终以flag{/xxx/xxx}格式提交

/tmp/kworkerds

root下进行top命令没有反应，更改solar用户密码进入solar用户执行top命令

发现正运行的进程中kworkerds反常，猜测这个是恶意挖矿程序，netstat -nlpt确定一下

find / -name kworkerds得到绝对路径

任务2

任务名称：提交挖矿文件的外联IP与端口

任务分数：100.00

任务类型：静态Flag

提交挖矿文件的外联的IP与端口，最终以flag{ip:port}格式提交

104.21.6.99:10235

在之前的netstat -antp可知外联ip和端口

任务3

任务名称：守护进程脚本的绝对路径

任务分数：100.00

任务类型：静态Flag

停止挖矿进程并尝试删除挖矿程序，根据异常判断，提交守护进程脚本的绝对路径，最终以flag{/xxx/xxx/xxx/xxx}提交

flag{/usr/bin/.0guardian}

尝试直接删除

发现失败，遂查看计划任务

发现0guardian的很奇怪，它使用root权限一直维持/usr/bin/.0guardian的启动，同时这个.0guardian获取 /tmp目录的状态信息，作为一个“心跳”或“健康检查”的触发器。

任务4

任务名称：异常处理

任务分数：100.00

任务类型：静态Flag

根据出现的异常及守护进程脚本，继续排查，以人为本，使用环境内浏览器访问：http://chat.internal-dev.net:8081 获取可疑网址，最终以flag{http://www.example.com}格式提交

flag{http://www.superlog-pro.com}

任务5

任务名称：分析病毒文件

任务分数：100.00

任务类型：静态Flag

分析病毒文件，提交其感染的所有程序，最终以flag{md5(/usr/bin/whoai,/usr/bin/ls,/usr/bin/top)}进行提交，顺序需以病毒文件中为准

flag{dac48e98a53b81b0218e2156e364f7ba}

下载下来strings一下看看

/bin/ls,/bin/ps,/bin/cat,/bin/rm,/bin/ss,/usr/bin/stat,/usr/bin/top,/usr/bin/wget,/usr/bin/curl,/usr/bin/vi,/usr/bin/sudo

任务6

任务名称：修复系统并恢复文件完整性

任务分数：100.00

任务类型：静态Flag

修复系统并恢复文件完整性：已知所有程序被感染，当前系统属于断网状态，所以作者贴心的在/deb_final目录下存放了对应程序的deb包，请尝试恢复所有程序，恢复完毕后在/var/flag/1文件获取flag

flag{e510c5fca680b1b4bd5c9d8d6b3f4bdc}

dpkg -i ./*.deb 2>&1 直接安装，然后读取flag

任务7

任务名称：最终清理

任务分数：100.00

任务类型：静态Flag

最终清理：删除挖矿程序、删除计划任务及守护进程及清除相关进程，等待片刻在/var/flag/2获取flag

flag{081ce3688c6cd6e2946125081381087c}

pkill 杀掉进程，rm -f 删除文件，