近日接到客戶求助,他們收到托管電信機(jī)房的信息,通知檢測(cè)到他們的一臺(tái)服務(wù)器有對(duì)外發(fā)送攻擊流量的行為。希望我們能協(xié)助排查問(wèn)題。
情況緊急,首先要確認(rèn)安全事件的真實(shí)性。經(jīng)過(guò)和服務(wù)器運(yùn)維人員溝通,了解到業(yè)務(wù)只在內(nèi)網(wǎng)應(yīng)用,但服務(wù)器竟然放開(kāi)到公網(wǎng)了,能在公網(wǎng)直接ping通,且開(kāi)放了22遠(yuǎn)程端口。從這點(diǎn)基本可以確認(rèn)服務(wù)器已經(jīng)被入侵了。
猜想黑客可能是通過(guò)SSH暴破登錄服務(wù)器。查看/var/log下的日志,發(fā)現(xiàn)大部分日志信息已經(jīng)被清除,但secure日志沒(méi)有被破壞,可以看到大量SSH登錄失敗日志,并存在root用戶多次登錄失敗后成功登錄的記錄,符合暴力破解特征
通過(guò)查看威脅情報(bào),發(fā)現(xiàn)暴力破解的多個(gè)IP皆有惡意掃描行為
對(duì)系統(tǒng)關(guān)鍵配置、賬號(hào)、歷史記錄等進(jìn)行排查,確認(rèn)對(duì)系統(tǒng)的影響情況
發(fā)現(xiàn)/root/.bash_history內(nèi)歷史記錄已經(jīng)被清除,其他無(wú)異常。
四、進(jìn)程分析對(duì)當(dāng)前活動(dòng)進(jìn)程、網(wǎng)絡(luò)連接、啟動(dòng)項(xiàng)、計(jì)劃任務(wù)等進(jìn)行排查
發(fā)現(xiàn)以下問(wèn)題:
1) 異常網(wǎng)絡(luò)連接通過(guò)查看系統(tǒng)網(wǎng)絡(luò)連接情況,發(fā)現(xiàn)存在木馬后門程序te18網(wǎng)絡(luò)外聯(lián)。
在線查殺該文件為L(zhǎng)inux后門程序。
通過(guò)查看crontab 定時(shí)任務(wù),發(fā)現(xiàn)存在異常定時(shí)任務(wù)。
分析該定時(shí)任務(wù)運(yùn)行文件及啟動(dòng)參數(shù)
在線查殺相關(guān)文件為挖礦程序
查看礦池配置文件
在/root目錄發(fā)現(xiàn)黑客植入的惡意代碼和相關(guān)操作文件。
黑客創(chuàng)建隱藏文件夾/root/.s/,用于存放挖礦相關(guān)程序。
最后使用RKHunter掃描系統(tǒng)后門
通過(guò)以上的分析,可以判斷出黑客通過(guò)SSH爆破的方式,爆破出root用戶密碼,并登陸系統(tǒng)進(jìn)行挖礦程序和木馬后門的植入。
加固建議
1) 刪除crontab 定時(shí)任務(wù)(刪除文件/var/spool/cron/root內(nèi)容),刪除服務(wù)器上黑客植入的惡意文件。
2) 修改所有系統(tǒng)用戶密碼,并滿足密碼復(fù)雜度要求:8位以上,包含大小寫字母+數(shù)字+特殊符號(hào)組合;
3) 如非必要禁止SSH端口對(duì)外網(wǎng)開(kāi)放,或者修改SSH默認(rèn)端口并限制允許訪問(wèn)IP;
聯(lián)系客服