近日接到客戶求助,他們收到托管電信機房的信息����,通知檢測到他們的一臺服務(wù)器有對外發(fā)送攻擊流量的行為����。希望我們能協(xié)助排查問題�。
一、確認安全事件
情況緊急���,首先要確認安全事件的真實性���。經(jīng)過和服務(wù)器運維人員溝通,了解到業(yè)務(wù)只在內(nèi)網(wǎng)應(yīng)用���,但服務(wù)器竟然放開到公網(wǎng)了�,能在公網(wǎng)直接ping通�����,且開放了22遠程端口��。從這點基本可以確認服務(wù)器已經(jīng)被入侵了���。
二���、日志分析
猜想黑客可能是通過SSH暴破登錄服務(wù)器����。查看/var/log下的日志,發(fā)現(xiàn)大部分日志信息已經(jīng)被清除���,但secure日志沒有被破壞,可以看到大量SSH登錄失敗日志����,并存在root用戶多次登錄失敗后成功登錄的記錄,符合暴力破解特征
通過查看威脅情報�����,發(fā)現(xiàn)暴力破解的多個IP皆有惡意掃描行為
三�����、系統(tǒng)分析
對系統(tǒng)關(guān)鍵配置���、賬號、歷史記錄等進行排查,確認對系統(tǒng)的影響情況
發(fā)現(xiàn)/root/.bash_history內(nèi)歷史記錄已經(jīng)被清除����,其他無異常��。
四、進程分析
對當(dāng)前活動進程��、網(wǎng)絡(luò)連接����、啟動項����、計劃任務(wù)等進行排查
發(fā)現(xiàn)以下問題:
1)異常網(wǎng)絡(luò)連接
通過查看系統(tǒng)網(wǎng)絡(luò)連接情況�����,發(fā)現(xiàn)存在木馬后門程序te18網(wǎng)絡(luò)外聯(lián)����。
在線查殺該文件為Linux后門程序���。
2)異常定時任務(wù)
通過查看crontab 定時任務(wù)����,發(fā)現(xiàn)存在異常定時任務(wù)��。
分析該定時任務(wù)運行文件及啟動參數(shù)
在線查殺相關(guān)文件為挖礦程序
查看礦池配置文件
五、文件分析
在/root目錄發(fā)現(xiàn)黑客植入的惡意代碼和相關(guān)操作文件。
黑客創(chuàng)建隱藏文件夾/root/.s/,用于存放挖礦相關(guān)程序�。
六�、后門排查
最后使用RKHunter掃描系統(tǒng)后門
七�、總結(jié)
通過以上的分析��,可以判斷出黑客通過SSH爆破的方式����,爆破出root用戶密碼,并登陸系統(tǒng)進行挖礦程序和木馬后門的植入��。
加固建議
1)刪除crontab 定時任務(wù)(刪除文件/var/spool/cron/root內(nèi)容)��,刪除服務(wù)器上黑客植入的惡意文件�����。
2)修改所有系統(tǒng)用戶密碼���,并滿足密碼復(fù)雜度要求:8位以上���,包含大小寫字母+數(shù)字+特殊符號組合;
3)如非必要禁止SSH端口對外網(wǎng)開放,或者修改SSH默認端口并限制允許訪問IP;
以上就是本文的全部內(nèi)容,希望對大家的學(xué)習(xí)有所幫助���,也希望大家多多支持腳本之家。
