作者：安全淺談

連結：https://www.cnblogs.com/canyezhizi/p/11194177.html

近日接到客戶求助，他們收到託管電信機房的資訊，通知檢測到他們的一臺伺服器有對外傳送攻擊流量的行為。希望我們能協助排查問題。

一、確認安全事件

情況緊急，首先要確認安全事件的真實性。經過和伺服器運維人員溝通，瞭解到業務只在內網應用，但伺服器竟然放開到公網了，能在公網直接ping通，且開放了22遠端埠。從這點基本可以確認伺服器已經被入侵了。

二、日誌分析

猜想駭客可能是透過SSH暴破登入伺服器。檢視/var/log下的日誌，發現大部分日誌資訊已經被清除，但secure日誌沒有被破壞，可以看到大量SSH登入失敗日誌，並存在root使用者多次登入失敗後成功登入的記錄，符合暴力破解特徵。

透過檢視威脅情報，發現暴力破解的多個IP皆有惡意掃描行為

三、系統分析

對系統關鍵配置、賬號、歷史記錄等進行排查，確認對系統的影響情況

發現/root/.bash_history內歷史記錄已經被清除，其他無異常。

四、程式分析

對當前活動程式、網路連線、啟動項、計劃任務等進行排查

發現以下問題：

透過檢視系統網路連線情況，發現存在木馬後門程式te18網路外聯。

線上查殺該檔案為Linux後門程式。

透過檢視crontab 定時任務，發現存在異常定時任務。

分析該定時任務執行檔案及啟動引數

線上查殺相關檔案為挖礦程式

檢視礦池配置檔案

五、檔案分析

在/root目錄發現駭客植入的惡意程式碼和相關操作檔案。

駭客建立隱藏資料夾/root/.s/,用於存放挖礦相關程式。

六、後門排查

最後使用RKHunter掃描系統後門

七、總結

透過以上的分析，可以判斷出駭客透過SSH爆破的方式，爆破出root使用者密碼，並登陸系統進行挖礦程式和木馬後門的植入。

加固建議

1) 刪除crontab 定時任務（刪除檔案/var/spool/cron/root內容），刪除伺服器上駭客植入的惡意檔案。

2) 修改所有系統使用者密碼，並滿足密碼複雜度要求：8位以上，包含大小寫字母+數字+特殊符號組合；

3) 如非必要禁止SSH埠對外網開放，或者修改SSH預設埠並限制允許訪問IP；

週末生產事故！一次心驚肉跳的伺服器入侵排查....

相關文章