一、概述
2022年3月底,在网络安全监测中发现某网络攻击组织利用SSH爆破投放挖矿程序的活动比较活跃,主要涉及的是一个haiduc的工具。
二、检测定位阶段工作说明
2.1、异常现象确认
服务器被植入木马病毒,并对内网进行暴力破解。本次发起暴力破解的主机为10.101.2.210。
2.2、溯源分析过程
通过态势感知查看暴力破解检测日志,发现最早从2月16日凌晨3点半左右出现暴力破解告警情况,攻击源为10.101.2.210服务器。
三、抑制阶段工作说明
临时配置防火墙禁止101.2.210访问其他区域服务器22端口;
修改服务器10.101.2.210弱密码为强口令;
【查看相关资料】
1、网络安全学习路线
2、电子书籍(白帽子)
3、安全大厂内部视频
4、100份src文档
5、常见安全面试题
6、ctf大赛经典题目解析
7、全套工具包
8、应急响应笔记
四、根除阶段工作说明
1.进程分析:ps -ef 查看运行进程,发现大量sshd命令