近日接到客戶求助,他們收到託管電信機房的資訊,通知檢測到他們的一台伺服器有對外傳送攻擊流量的行為。希望我們能協助排查問題。
情況緊急,首先要確認安全事件的真實性。經過和伺服器運維人員溝通,了解到業務只在內網應用,但伺服器竟然放開到公網了,能在公網直接ping通,且開放了22遠端埠。從這點基本可以確認伺服器已經被入侵了。
猜想黑客可能是通過ssh暴破登入伺服器。檢視/var/log下的日誌,發現大部分日誌資訊已經被清除,但secure日誌沒有被破壞,可以看到大量ssh登入失敗日誌,並存在root使用者多次登入失敗後成功登入的記錄,符合暴力破解特徵
通過檢視威脅情報,發現暴力破解的多個ip皆有惡意掃瞄行為
對系統關鍵配置、賬號、歷史記錄等進行排查,確認對系統的影響情況
發現/root/.bash_history內歷史記錄已經被清除,其他無異常。
對當前活動程序、網路連線、啟動項、計畫任務等進行排查
發現以下問題:
通過檢視系統網路連線情況,發現存在木馬後門程式te18網路外聯。
通過檢視crontab 定時任務,發現存在異常定時任務。
分析該定時任務執行檔案及啟動引數
檢視礦池配置檔案
在/root目錄發現黑客植入的惡意**和相關操作檔案。
黑客建立隱藏資料夾/root/.s/,用於存放挖礦相關程式。
最後使用rkhunter掃瞄系統後門
通過以上的分析,可以判斷出黑客通過ssh爆破的方式,爆破出root使用者密碼,並登陸系統進行挖礦程式和木馬後門的植入。
加固建議
1) 刪除crontab 定時任務(刪除檔案/var/spool/cron/root內容),刪除伺服器上黑客植入的惡意檔案。
2) 修改所有系統使用者密碼,並滿足密碼複雜度要求:8位以上,包含大小寫字母+數字+特殊符號組合;
3) 如非必要禁止ssh埠對外網開放,或者修改ssh預設埠並限制允許訪問ip;
記一次Linux伺服器被入侵後的檢測過程
000 前言 故事是這樣的,大年初一,客戶反應他們伺服器無法訪問,檢視路由,發現某 oracle tomcat 伺服器 udp 流量超大,把頻寬佔完了,過年嘛,客戶那邊先找了當地的技術人員弄了幾天沒搞定,然後沒辦法大年初三的找我們弄 顧客是上帝!其實吧以前也遇到過這類攻擊,當時某idc都被打癱了,只...
記一次linux挖礦木馬應急
1.拿到了乙個靶機,top檢查,發現有乙個程序cpu利用率一直在百分之百,經過特徵對比,發現是挖礦木馬 2.利用 ll proc 埠id exe 定位木馬檔案所在位置 3.rm rf 刪除掉木馬檔案 4.原本以為搞定了,過了一會發現還是有利用率百分之百情況 5.檢視 cat var spool cr...
記一次伺服器事故
mysql資料庫報錯 can t create write to file tmp sql 6ccc 0.myi 在開始刪除之後,所有服務就已經恢復正常執行了,接下來就是優化那個session了,哎又是埋坑.最後附上inode擴容的方法 但是需要注意,手動擴inode,一般是新建分割槽時設定的,該操...