记一次linux服务器入侵应急响应
<p>近日接到客户求助,他们收到托管电信机房的信息,通知检测到他们的一台服务器有对外发送攻击流量的行为。希望我们能协助排查问题。</p><p> <img src="https://img2018.cnblogs.com/blog/1663629/201907/1663629-20190716123546157-1801345682.png" alt=""></p>
<h2>一、确认安全事件</h2>
<p><span style="font-family: 微软雅黑">情况紧急,首先要确认安全事件的真实性。经过和服务器运维人员沟通,了解到业务只在内网应用,但服务器竟然放开到公网了,能在公网直接</span>ping通,且开放了22远程端口。从这点基本可以确认服务器已经被入侵了。</p>
<p> <img src="https://img2018.cnblogs.com/blog/1663629/201907/1663629-20190716124006789-1778850598.png" alt=""></p>
<h2>二、日志分析</h2>
<p><span style="font-family: 微软雅黑">猜想黑客可能是通过</span>SSH暴破登录服务器。查看/var/log下的日志,发现大部分日志信息已经被清除,但secure日志没有被破坏,可以看到大量SSH登录失败日志,并存在root用户多次登录失败后成功登录的记录,符合暴力破解特征</p>
<p> <img src="https://img2018.cnblogs.com/blog/1663629/201907/1663629-20190716124022042-206018362.png" alt=""></p>
<p><span style="font-family: 微软雅黑">通过查看威胁情报,发现暴力破解的多个</span>IP皆有恶意扫描行为</p>
<p> <img src="https://img2018.cnblogs.com/blog/1663629/201907/1663629-20190716124034699-887016321.png" alt=""></p>
<h2>三、系统分析</h2>
<p>对系统关键配置、账号、历史记录等进行排查,确认对系统的影响情况</p>
<p><span style="font-family: 微软雅黑">发现</span>/root/.bash_history内历史记录已经被清除,其他无异常。</p>
<h2>四、进程分析</h2>
<p>对当前活动进程、网络连接、启动项、计划任务等进行排查</p>
<p>发现以下问题:</p>
<h3>1) 异常网络连接</h3>
<p>通过查看系统网络连接情况,发现存在木马后门程序te18网络外联。</p>
<p> <img src="https://img2018.cnblogs.com/blog/1663629/201907/1663629-20190716124048409-53628388.png" alt=""></p>
<p><span style="font-family: 微软雅黑">在线查杀该文件为</span>Linux后门程序。</p>
<p> <img src="https://img2018.cnblogs.com/blog/1663629/201907/1663629-20190716124100795-2066059965.png" alt=""></p>
<h3 class="15">2) 异常定时任务</h3>
<p>通过查看crontab 定时任务,发现存在异常定时任务。</p>
<p> <img src="https://img2018.cnblogs.com/blog/1663629/201907/1663629-20190716124302081-183985270.png" alt=""></p>
<p>分析该定时任务运行文件及启动参数</p>
<p> <img src="https://img2018.cnblogs.com/blog/1663629/201907/1663629-20190716124326093-1780555520.png" alt=""></p>
<p>在线查杀相关文件为挖矿程序</p>
<p> <img src="https://img2018.cnblogs.com/blog/1663629/201907/1663629-20190716124336760-1473239007.png" alt=""></p>
<p>查看矿池配置文件</p>
<p> <img src="https://img2018.cnblogs.com/blog/1663629/201907/1663629-20190716124348499-1308864930.png" alt=""></p>
<h2 class="15">五、文件分析</h2>
<p><span style="font-family: 微软雅黑">在</span>/root目录发现黑客植入的恶意代码和相关操作文件。</p>
<p> <img src="https://img2018.cnblogs.com/blog/1663629/201907/1663629-20190716124405618-1222652470.png" alt=""></p>
<p>黑客创建隐藏文件夹/root/.s/,用于存放挖矿相关程序。</p>
<p> <img src="https://img2018.cnblogs.com/blog/1663629/201907/1663629-20190716124416064-637062604.png" alt=""></p>
<h2>六、后门排查</h2>
<p><span style="font-family: 微软雅黑">最后使用</span>RKHunter扫描系统后门 </p>
<p><img src="https://img2018.cnblogs.com/blog/1663629/201907/1663629-20190716124427933-458307060.png" alt=""></p>
<p> </p>
<h2>七、总结</h2>
<p><span style="font-family: 微软雅黑">通过以上的分析,可以判断出黑客通过</span>SSH<span style="font-family: 微软雅黑">爆破的方式,爆破出</span>root用户密码,并登陆系统进行挖矿程序和木马后门的植入。</p>
<p>加固建议</p>
<p class="15">1) <span style="font-family: 微软雅黑">删除</span>crontab 定时任务(删除文件/var/spool/cron/root内容),删除服务器上黑客植入的恶意文件。</p>
<p class="15">2) 修改所有系统用户密码,并满足密码复杂度要求:8<span style="font-family: 微软雅黑">位以上,包含大小写字母</span>+数字+特殊符号组合;</p>
<p class="15">3) <span style="font-family: 微软雅黑">如非必要禁止</span>SSH<span style="font-family: 微软雅黑">端口对外网开放,或者修改</span>SSH<span style="font-family: 微软雅黑">默认端口并限制允许访问</span>IP;</p><br><br>
来源:https://www.cnblogs.com/canyezhizi/p/11194177.html
頁:
[1]