一次SSH爆破攻击haiduc工具的应急响应

最新推荐文章于 2024-06-29 22:00:00 发布
最新推荐文章于 2024-06-29 22:00:00 发布
阅读量215 收藏
点赞数
文章标签: ssh github 运维 系统安全 linux 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2201_75571291/article/details/132566951
版权

一、概述

2022年3月底,我安服团队在网络安全监测中发现某网络攻击组织利用SSH爆破投放挖矿程序的活动比较活跃,主要涉及的是一个haiduc的工具。

二、 检测 定位 阶段工作说明

2.1、 异常现象确认

服务器被植入木马病毒,并对内网进行暴力破解。本次发起暴力破解的主机为10.101.2.210。

2.2、 **溯源分析过程 **

通过态势感知查看暴力破解检测日志,发现最早从2月16日凌晨3点半左右出现暴力破解告警情况,攻击源为10.101.2.210服务器。

三、 抑制 阶段工作说明

临时配置防火墙禁止101.2.210访问其他区域服务器22端口;

修改服务器10.101.2.210弱密码为强口令;

四、 根除 阶段工作说明

1.进程分析:ps -ef 查看运行进程,发现大量sshd命令

1647963295_6239ec9fa97813f88b84f.png!small?1647963296164

2.通过异常进程PID查看恶意程序,发现指向usr/share/man/.md/haiduc这个文件

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-dTllPh4a-1693217313978)(https://image.3001.net/images/20220322/1647963343_6239eccf6fae4810d8227.png!small?1647963343512)]

3.进入到指定文件夹目录下

1647963374_6239ecee7837b817faa79.png!small?1647963374909

4.拷贝下来进行病毒分析

1647963494_6239ed668875b46d66c2f.png!small?1647963494666

上传微步沙箱分析

1647963514_6239ed7aa237a2a0ddee5.png!small?1647963514745

5.进行目录文件解剖(存在爆破IP和账号密码信息)

1647963536_6239ed9089deceb4f4deb.png!small?1647963536590

1647963541_6239ed95c8bcf1e536cd8.png!small?1647963541986

6.登录安全:ssh免密登录排查

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-7WV44iDx-1693217313980)(https://image.3001.net/images/20220322/1647963561_6239eda942808a5af57d8.png!small?1647963561271)]

未发现配置有可疑的ssh免密登录keys

7.服务器最近登录日志分析

1647963585_6239edc1e1b78cef563e1.png!small?1647963586058

其中:10.100.2.40、10.100.2.80、10.17.250.179为工程师IP。

最早登录时间:2月16日 03:34 ,登录IP: 10.100.2.211

8.查看最近爆破登录日志

1647963633_6239edf1ea6aa90852a8c.png!small?1647963634281

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-4X4LCwgQ-1693217313981)(https://image.3001.net/images/20220322/1647963639_6239edf792948331c6a5e.png!small?1647963639920)]

该机器发现有被ip10.101.31.4进行ssh爆破的记录,最早时间3月12日,未发现其他爆破情况;

9.账号异常排查

1647963665_6239ee11a98d94450c76b.png!small?16479636657331647963674_6239ee1ae54177fed8d2e.png!small?1647963675155

分析:未发现异常可疑账号

10.查看历史操作日志

1647963741_6239ee5dab121280036bc.png!small?1647963741820

1647963747_6239ee638a1607b3184a3.png!small?1647963747554

分析:发现恶意脚本haiduc被执行的记录和远程下载恶意文件的记录

11.自启动项分析

1647963768_6239ee7899e6409f825e6.png!small?1647963768748

未发现异常

12.计划任务

1647963794_6239ee924b0f3470a2ce1.png!small?1647963794443

未发现异常

13.根除

(1)修改弱口令为强复杂度扣口令

(2)Kill -9 haiduc 强行杀毒恶意进程后,进程断开

杀死进程前

1647963879_6239eee71dc27b312db64.png!small?1647963879231

杀死进程后

1647963967_6239ef3ff37c58c7f5444.png!small?1647963968115

(3)删除对应的文件目录和文件

1647963995_6239ef5b4ef244242179c.png!small?1647963995375

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-jIYTuCF3-1693217313984)(https://image.3001.net/images/20220322/1647963999_6239ef5f3ccc6afbdf80b.png!small?1647963999473)]

截止目前,服务器恶意进程停止和态势感知恶意告警消失。

分析 小结

通过分析判断,极有可能主机10.101.2.210于2月16日凌晨3点前后被植入病毒文件,并通过SSH爆破的方式进行内网传播。经过对病毒的传播方式进行分析,很可能为ip
10.101.2.211登录该主机远程下载恶意文件haiduc导致。对进程和病毒文件进行清理之后,病毒未复发。

五、恢复阶段工作说明

六、 跟踪阶段工作说明

截止目前,病毒未复发,未发现木马病毒二次扩散传播,待后续继续跟踪观察网络安全态势和告警。

导致。对进程和病毒文件进行清理之后,病毒未复发。

五、恢复阶段工作说明

六、 跟踪阶段工作说明

截止目前,病毒未复发,未发现木马病毒二次扩散传播,待后续继续跟踪观察网络安全态势和告警。

如果你对网络安全入门感兴趣,那么你点击这里👉CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

如果你对网络安全感兴趣,学习资源免费分享,保证100%免费!!!(嘿客入门教程)

👉网安(嘿客)全套学习视频👈

我们在看视频学习的时候,不能光动眼动脑不动手,比较科学的学习方法是在理解之后运用它们,这时候练手项目就很适合了。

img

img

👉网安(嘿客红蓝对抗)所有方向的学习路线****👈

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

img

学习资料工具包

压箱底的好资料,全面地介绍网络安全的基础理论,包括逆向、八层网络防御、汇编语言、白帽子web安全、密码学、网络安全协议等,将基础理论和主流工具的应用实践紧密结合,有利于读者理解各种主流工具背后的实现机制。

在这里插入图片描述

面试题资料

独家渠道收集京东、360、天融信等公司测试题!进大厂指日可待!
在这里插入图片描述

👉嘿客必备开发工具👈

工欲善其事必先利其器。学习客常用的开发软件都在这里了,给大家节省了很多时间。

这份完整版的网络安全(客)全套学习资料已经上传至CSDN官方,朋友们如果需要点击下方链接也可扫描下方微信二v码获取网络工程师全套资料【保证100%免费】

如果你有需要可以点击👉CSDN大礼包:《嘿客&网络安全入门&进阶学习资源包》免费分享

你别管我了
关注
centos8 处理挖矿程序攻击
Wangthebest的专栏
05-30 1419
ll /usr/bin/top* top命令被修改,并且隐藏了两个进程 chattr命令不可用,先删除e2fsprogs再重新安装。 yum remove e2fsprogs #rpm -qa|grep e2fsprogs yum -y install e2fsprogs #yum install e2fsprogs-1.45.6-2.el8.x86_64 解锁TOP文件并恢复 chattr -i top mv top top.rm mv top.lanigiro top 4.
SHH爆破linux工具
01-13
这个爆破工具个人用的感觉非常的不错啊 其实都不想法出来的 为了装点下载BB
Shreder:线程SSH协议密码爆破工具
weixin_43977912的博客
10-08 1030
关于Shreder Shreder是一款功能强大的多线程SSH协议密码爆破工具,广大研究人员可以使用Shreder对SSH协议的安全性进行探究。 功能介绍 能够快速执行密码爆破,每个密码仅需1秒; 经过优化处理,支持大型密码字典,Shreder尝试1000个密码仅需1分40秒; 简单的命令行接口和API使用方法; 工具安装 由于Shreder使用Python3开发,因此首先需要在本地设备上安装并配置好Python3环境。接下来,广大研究人员可以使用下列命令下载并安装Shreder: pip3 install
应用协议安全:Hydra 端口爆破工具.(九头蛇)
最新发布
Karka_的博客
06-29 1078
这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!(2)实战:爆破 远程桌面 RDP.( 3389 端口 )(10)实战:爆破 PgSQL数据库( 5432 端口 )(6)实战:爆破 MSSQL数据库( 1433 端口 )(7)实战:爆破 MySQL数据库( 3306 端口 )(9)实战:爆破 Redis数据库( 6379 端口 )(1)实战:爆破 SSH 协议.( 22 端口 )④50份安全攻防面试指南。
服务器ssh攻击
↓ ↓
05-11 839
禁止SSH访问服务器!!!!!!!!!
【WEB_脚本开发】简易SSH爆破工具
HWHXY的博客
03-09 676
https://github.com/hwhxy/sshCrack
两款SSH爆破工具的介绍:hydra+medusa
William234的博客
03-20 9521
两款SSH爆破工具的介绍:hydra+me...
Silsesquioxane Chemistry. IX [1] Synthesis and Characterization of the First Amino- and Iminosilsesquioxanes
06-29
Silsesquioxane Chemistry. IX [1] Synthesis and Characterization ...Dedicated to Professor Jonel Haiduc on the Occasion of his 65th Birthday Abstract. The reaction of the mono-functional closo-silsesqui
A Survey of Automatic Generation of SourceCode Comments: Algorithms and Techniques综述论文阅读笔记
weixin_43433969的博客
03-21 424
一篇关于自动生成源代码评论的报告 摘要 代码评论主要用于提高源码的可读性与可理解性。 第一步,大致的分析了代码评论的挑战与调查框架;第二,介绍了典型的算法分类,设计原理、以及各个算法的优缺点。本论文提供了代码评论的质量评估概述,最后总结一些关于代码评论生成和评论质量检测未来的方向。 介绍 代码评论主要是针对程序的功能与意义大致描述。不仅仅通过代码评论提高代码可理解性,有研究提出通过定义一个长的描述...
Automatic Program Generator
05-22
Copyright 1998-2007 Pavel Haiduc, HP InfoTech s.r.l. http://www.hpinfotech.com Project : Version : Date : 2008/6/4 Author : wangzi26 Company : SEELO Comments: Chip type : ATmega16 Program type : ...
ssh爆破工具hydra.zip
04-27
ssh爆破工具hydra.zip
多线程SSH爆破
04-23
ssh环境,通过action触发一个多线程任务,每个任务调用一个继承HibernateDaoSupport的service的方法,现在要每个线程都绑定一个新的hibernate session
Kali下ssh爆破以及nikto工具漏洞扫描-漏洞银行大咖周3 -屌丝绅士
01-26
来源:漏洞银行大咖面对面一周大咖秀3 作者:屌丝绅士
[原创]内网SSH密码爆破工具sshcrack(配合Cscan批量弱口令检测)
weixin_30414245的博客
06-10 2203
0x000 前言 sshcrack是一个命令行下的SSH密码爆破工具,适用于内渗中SSH密码检测 当然也可用于外网SSH密码爆破,支持Windows/Linux,其它系统未测。Tip1 0x001 目录 1.sshcrack用法 2.Cscan批量扫描 3.连接SSH执行命令 4.sshcrack源码 5.SSH批量上控 6.工具下载 0x002 用法 指定SSH服务器密码检...
靶机(potato-suncsr)——ssh暴力破解(工具包括:cewl(爬虫)、hydra(九头蛇)、nmap、arp-scan、dirsearch)
一大口木的博客
04-11 2267
一次使用靶机,很好玩,我感觉靶机就是有漏洞的一个虚拟机,你可以在vmware里打开,然后用kali攻击,获取权限,或者盗取信息链接: https://pan.baidu.com/s/1KFYQkEP_KAr3lJZOfQ2-Ig?pwd=2cbh 提取码: 2cbh 复制这段内容后打开百度网盘手机App,操作更方便哦开始正题。
使用 denyhosts 防御服务器SSH暴力攻击
小陌成长之路
04-07 1859
DenyHosts是Python语言写的一个程序,它可以分析sshd的登录日志文件(/var/log/secure),当发现重复的攻击时就会记录IP到/etc/hosts.deny文件,从而达到自动屏IP阻止SSH密码暴力破解的功能。
Python脚本--爆破SSH
changmantong1045的博客
09-15 486
利用Pxssh是pexpect库的ssh专用脚本 环境:kali 代码: ''' Author:yw ''' from pexpect import pxssh import optparse from threading import * Max_Connect = 5 connection_lock = BoundedSemaphore(value=Max_Connect) def ...
服务器遭遇ssh攻击及应对过程
sunhao06的博客
01-02 6182
前几天登录服务器一看,短短十几个小时的时间有七千多次ssh错误登录记录,毫无疑问,有人在对我进行ssh远程暴库攻击。 利用命令 grep -o '[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}' /var/log/secure | sort | uniq -c 可以看到每个ip的访问次数(其实图没截完,还有很多),可以看到这个人应该有很多“肉鸡”来对别人进行攻击,比较有趣的是就在我查看登录记录的同时,他还在暴力破解,咱也不知道.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值