分享某次簡單的伺服器入侵溯源思路

今天一起看看一些簡單的入侵溯源是怎麼做的，幫助大家進一步瞭解這方面的內容，建立興趣。

一般來說，對於普通使用者，溯源的目的更多的是清理已經植入伺服器的各種病毒，找到入侵源頭，也就是黑客是通過什麼漏洞入侵伺服器，而這次要講的溯源經歷就是一起伺服器被入侵挖礦溯源的經歷，正好貼合這次分享的內容。

故事的開始是這樣的...

在某一個天和日麗的晚上，抱歉，晚上沒有太陽。在某個夜黑風高的晚上，我準備把最近寫的用來爬取美麗小姐姐照片的爬蟲部署到伺服器上，結果登入到伺服器上的時候，發現操作有點卡，很明顯的感覺到伺服器的異常，而昨天還沒有這樣的情況，好在安全技能沒白學，第一時間意識到伺服器被入侵了，先看看伺服器的程式情況，輸入Top命令，再按大寫的P，根據CPU利用率來看看程式：

可以看到一個很明顯的CPU利用率接近100%的程式，而看程式名也不是我們自己啟動的程式，基本是一個可疑程式。

進一步檢視埠連線資訊

可以看到1758，也是對應的剛才看到的那個pscf的異常程式連線了一個158.69.133.20:3333。

這個IP明顯不是我們們自己的IP，到https://www.ipip.net/ip.html查詢下地理位置：

這是一個國外IP，一般來說我們自己是熟悉自己伺服器情況，我自己伺服器上沒有連線國外IP的情況，基本確定這個程式是有問題的，進一步到威脅情報平臺查詢下這個IP的威脅情報資訊https://x.threatbook.cn/ip/158.69.133.20：

是一個礦池地址，加上CPU利用率接近100%的情況，我們們可以確定伺服器被入侵併被植入了挖礦程式。那麼剛才那個異常程式，其實就是一個挖礦程式。

現在要做的是找到入侵漏洞和清理病毒，首先要找到檔案位置，kill程式。

根據程式pid 1758直接ls -lh /proc/1758檢視該程式的具體資訊：

可以看到程式的exe指向的檔案在/var/tmp目錄下，然後我們先kill -9 1758殺死程式，避免程式佔用CPU資源導致我們相關操作有點慢。

進入/var/tmp目錄可以看到相關的檔案，Linux 系統可以直接 md5sum 檔案 來提取檔案的MD5值，然後到到https://www.virustotal.com/ 進行查詢，可以看到相關結果，根據結果顯示毋庸置疑的可以確定是挖礦程式：

包含我們直接檢視w.conf檔案，也能看出這是一個挖礦配置檔案。

根據經驗，這種挖礦程式一般都是通過一個bash指令碼進行執行然後下載進行啟動，可以通過查詢日誌和history看看是否有wget、curl等下載行為：

或者查詢系統syslog

既然找到了指令碼就方便多了，我們全域性find了下這個指令碼，沒有找到，不過好在指令碼還沒失效，直接下載指令碼分析行為，發現:

1、除了/var/tmp目錄下的檔案，其他檔案已自刪除

2、指令碼中還修改了crontab任務

所以對應的清理方式我們就直接刪除/var/tmp目錄下的惡意檔案即可，同時根據指令碼的分析和剛才syslog中可以看到，指令碼的下載執行是通過crontab任務的，root賬戶，我們直接檢視/var/spool/cron/crontabs/root檔案:

所以這裡也要清理，把相關任務刪除即可。

同時根據cronab任務檔案內容，我們看到redis字樣，所以可以懷疑是由於Redis服務入侵，經過排查，Redis確實存在未授權訪問問題。

對應的修復Redis的配置問題，關閉外網訪問，增加密碼驗證，就可以修復問題，最終就完成了這樣一次溯源的過程。

這樣一個溯源過程是比較順利，因為我們基本是可以通過前一個步驟、或者歷史痕跡查猜測到黑客的相關操作，甚至可以獲得他的執行指令碼進行行為分析，就能進行對應的清理工作，所以整體過程是很順利；但在實際的一些溯源過程中，黑客會刪除日誌，清理相關痕跡，相關的連結會失效，所以需要更多的手段去分析、獲取更多資訊，猜測黑客的入侵原因。

本次的溯源過程其實是一個比較簡單的溯源經歷，這次分享主要目的就是讓大家大概的瞭解一個溯源的大概簡單過程是怎麼樣的，溯源中又是如果通過程式、埠等資訊排查異常檔案，再通過程式找到對應檔案，通過日誌找到痕跡，一層層的剝絲抽繭來找到入侵問題，最終清理掉相關的惡意檔案，修復漏洞。

主要能夠讓大家先建立一個概念和認知，更加具體和詳實的應急響應和溯源，請關注後續的不定期更新~