一、概述
2022年3月底,我安服团队在网络安全监测中发现某网络攻击组织利用SSH爆破投放挖矿程序的活动比较活跃,主要涉及的是一个haiduc的工具。
二、 检测 定位 阶段工作说明
2.1、 异常现象确认
服务器被植入木马病毒,并对内网进行暴力破解。本次发起暴力破解的主机为10.101.2.210。
2.2、 **溯源分析过程 **
通过态势感知查看暴力破解检测日志,发现最早从2月16日凌晨3点半左右出现暴力破解告警情况,攻击源为10.101.2.210服务器。
三、 抑制 阶段工作说明
临时配置防火墙禁止101.2.210访问其他区域服务器22端口;
修改服务器10.101.2.210弱密码为强口令;
四、 根除 阶段工作说明
1.进程分析:ps -ef 查看运行进程,发现大量sshd命令
2.通过异常进程PID查看恶意程序,发现指向usr/share/man/.md/haiduc这个文件
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-dTllPh4a-1693217313978)(https://image.3001.net/images/20220322/1647963343_6239eccf6fae4810d8227.png!small?1647963343512)]
3.进入到指定文件夹目录下
4.拷贝下来进行病毒分析
上传微步沙箱分析
5.进行目录文件解剖(存在爆破IP和账号密码信息)
6.登录安全:ssh免密登录排查
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-7WV44iDx-1693217313980)(https://image.3001.net/images/20220322/1647963561_6239eda942808a5af57d8.png!small?1647963561271)]
未发现配置有可疑的ssh免密登录keys
7.服务器最近登录日志分析
其中:10.100.2.40、10.100.2.80、10.17.250.179为工程师IP。
最早登录时间:2月16日 03:34 ,登录IP: 10.100.2.211
8.查看最近爆破登录日志
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-4X4LCwgQ-1693217313981)(https://image.3001.net/images/20220322/1647963639_6239edf792948331c6a5e.png!small?1647963639920)]
该机器发现有被ip10.101.31.4进行ssh爆破的记录,最早时间3月12日,未发现其他爆破情况;
9.账号异常排查
分析:未发现异常可疑账号
10.查看历史操作日志
分析:发现恶意脚本haiduc被执行的记录和远程下载恶意文件的记录
11.自启动项分析
未发现异常
12.计划任务
未发现异常
13.根除
(1)修改弱口令为强复杂度扣口令
(2)Kill -9 haiduc 强行杀毒恶意进程后,进程断开
杀死进程前
杀死进程后
(3)删除对应的文件目录和文件
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-jIYTuCF3-1693217313984)(https://image.3001.net/images/20220322/1647963999_6239ef5f3ccc6afbdf80b.png!small?1647963999473)]
截止目前,服务器恶意进程停止和态势感知恶意告警消失。
分析 小结
通过分析判断,极有可能主机10.101.2.210于2月16日凌晨3点前后被植入病毒文件,并通过SSH爆破的方式进行内网传播。经过对病毒的传播方式进行分析,很可能为ip
10.101.2.211登录该主机远程下载恶意文件haiduc导致。对进程和病毒文件进行清理之后,病毒未复发。
五、恢复阶段工作说明
无
六、 跟踪阶段工作说明
截止目前,病毒未复发,未发现木马病毒二次扩散传播,待后续继续跟踪观察网络安全态势和告警。
导致。对进程和病毒文件进行清理之后,病毒未复发。
五、恢复阶段工作说明
无
六、 跟踪阶段工作说明
截止目前,病毒未复发,未发现木马病毒二次扩散传播,待后续继续跟踪观察网络安全态势和告警。
如果你对网络安全入门感兴趣,那么你点击这里👉CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
如果你对网络安全感兴趣,学习资源免费分享,保证100%免费!!!(嘿客入门教程)
👉网安(嘿客)全套学习视频👈
我们在看视频学习的时候,不能光动眼动脑不动手,比较科学的学习方法是在理解之后运用它们,这时候练手项目就很适合了。
👉网安(嘿客红蓝对抗)所有方向的学习路线****👈
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
学习资料工具包
压箱底的好资料,全面地介绍网络安全的基础理论,包括逆向、八层网络防御、汇编语言、白帽子web安全、密码学、网络安全协议等,将基础理论和主流工具的应用实践紧密结合,有利于读者理解各种主流工具背后的实现机制。
面试题资料
独家渠道收集京东、360、天融信等公司测试题!进大厂指日可待!
👉嘿客必备开发工具👈
工欲善其事必先利其器。学习嘿客常用的开发软件都在这里了,给大家节省了很多时间。