前景需要小李在值守的过程中发现有CPU占用飙升出于胆子小就立刻将服务器关机这是他的服务器系统请你找出以下内容并作为通关条件1.攻击者的shell密码2.攻击者的IP地址3.攻击者的隐藏账户名称4.攻击者挖矿程序的矿池域名用户administrator密码Zgsfadmin.com一、Web 服务排查与 WebShell 定位问题 11.打开靶机发现桌面有phpstudy应用我们开启一下攻击者大概率通过 Web 上传漏洞 / Web RCE 入侵2.找到网站根目录直接查杀一下是否存在后门文件随便什么查杀工具都行获得webshell路径C:\phpStudy_pro\WWW\content\plugins \tips\shell.php查到了一个shell.php的木马病毒文件信任文件才能打开发现典型一句话木马结构并在代码中直接写死了密码攻击者的 shell 密码rebeyond二、日志分析定位攻击者 IP启动服务查看既然确认是 WebShell 上传那么攻击者的 IP 一定会出现在 Web 访问日志 中phpStudy 默认 Apache 日志路径是C:\phpstudy_pro\Extensions\Apache2.4.39\logs\查看logs文件打开 access.log结合以下特征筛选POST 请求上传脚本访问 WebShell 文件请求参数异常最终定位到攻击源 IP192.168.126.1所以攻击者的 IP 地址192.168.126.1三、攻击者的隐藏用户名弱口令 admin 123456可以登录进去四、挖矿行为以及恶意程序确认在桌面操作过程中发现运行某个可疑程序后CPU 使用率瞬间 100%这是非常典型的 挖矿行为特征锁定挖矿程序发现可疑的程序Kuang.exe使用 PyInstaller 反编译工具准备pyinstxtractor.py得到一个kuang.pyc文件用pyc在线反编译网站进行反编译查看源码发现里面有一段域名wakuang.zhigongshanfang.top然后解题即可。