服務器

波尔多葡萄酒地图:周末生產事故!一次心驚肉跳的服務器入侵排查….

廣告
廣告

微信掃一掃,分享到朋友圈

周末生產事故!一次心驚肉跳的服務器入侵排查….
0 0

近日接到客戶求助,他們收到托管電信機房的信息,通知檢測到他們的一臺服務器有對外發送攻擊流量的行為。希望我們能協助排查問題。 

一、確認安全事件
情況緊急,首先要確認安全事件的真實性。經過和服務器運維人員溝通,了解到業務只在內網應用,但服務器竟然放開到公網了,能在公網直接ping通,且開放了22遠程端口。從這點基本可以確認服務器已經被入侵了。 

二、日志分析

猜想黑客可能是通過SSH暴破登錄服務器。查看/var/log下的日志,發現大部分日志信息已經被清除,但secure日志沒有被破壞,可以看到大量SSH登錄失敗日志,并存在root用戶多次登錄失敗后成功登錄的記錄,符合暴力破解特征。

通過查看威脅情報,發現暴力破解的多個IP皆有惡意掃描行為 

三、系統分析

對系統關鍵配置、賬號、歷史記錄等進行排查,確認對系統的影響情況發現/root/.bash_history內歷史記錄已經被清除,其他無異常。

四、進程分析對當前活動進程、網絡連接、啟動項、計劃任務等進行排查發現以下問題:

對當前活動進程、網絡連接、啟動項、計劃任務等進行排查發現以下問題:

1) 異常網絡連接

通過查看系統網絡連接情況,發現存在木馬后門程序te18網絡外聯。 

在線查殺該文件為Linux后門程序。 

2) 異常定時任務

通過查看crontab 定時任務,發現存在異常定時任務。 

分析該定時任務運行文件及啟動參數 

在線查殺相關文件為挖礦程序 

查看礦池配置文件 

五、文件分析

在/root目錄發現黑客植入的惡意代碼和相關操作文件。?

黑客創建隱藏文件夾/root/.s/,用于存放挖礦相關程序。 

六、后門排查

最后使用RKHunter掃描系統后門?

七、總結

通過以上的分析,可以判斷出黑客通過SSH爆破的方式,爆破出root用戶密碼,并登陸系統進行挖礦程序和木馬后門的植入。加固建議1) 刪除crontab 定時任務(刪除文件/var/spool/cron/root內容),刪除服務器上黑客植入的惡意文件。2) 修改所有系統用戶密碼,并滿足密碼復雜度要求:8位以上,包含大小寫字母+數字+特殊符號組合;3) 如非必要禁止SSH端口對外網開放,或者修改SSH默認端口并限制允許訪問IP;

作者:安全淺談

鏈接:https://www.cnblogs.com/canyezhizi/p/11194177.html

我還沒有學會寫個人說明!

InnoDB一棵B+樹可以存放多少行數據?

上一篇

面向DevOps的企業自動化運維體系如何構建?

下一篇

你也可能喜歡

周末生產事故!一次心驚肉跳的服務器入侵排查….

長按儲存圖像,分享給朋友

ITPUB 每周精要將以郵件的形式發放至您的郵箱


微信掃一掃

微信掃一掃