概述
通过安全设备平台监测到IP:1x.xx.xx.xx(用户账号:xxxxx)对网内其他资产进行SSH暴力破解攻击,封禁该上网上号后,进行杀毒软件进行全盘查杀,未发现异常,于是请求我单位进行实施应急响应服务,到达现场,通过对相关服务器进程、启动项、计划任务、服务、文件、日志等进行取证分析,发现并处置恶意文件,并提供系统安全加固建议。
成果
经问询受害服务器责任人,IP:1x.xx.xx.xx为学院实验室路由器,为26台服务器分配IP地址(192.168.1.0/24),由于该路由器未开启安全审计、上网行为管理等功能,导致无法定位到受害服务器,故抽取3台服务器进行排查,经对进程、启动项、文件等进行排查,未发现异常,分析安全日志,发现均于1月31日4点42分遭到服务器192.168.1.3的SSH暴力破解攻击,未发现暴力破解成功记录,故对服务器192.168.1.3进行排查取证。
对受害服务器192.168.1.3取证,发现端口扫描工具“/media/.w/m”、暴力破解工具“/media/.w/parse”等恶意文件;分析受害服务器系统日志,发现服务器于1月30日10点38分遭到SSH暴力破解攻击,攻击者成功登录root用户;经问询,管理员使用autossh将受害服务器22端口映射至阿里云服务器4x.xx.xx.xx;对服务器4x.xx.xx.xx端口连接情况、进程、启动项、计划任务等排查,未发现异常,未发现autossh日志。
综上所述,由于管理员将受害服务器22端口映射至公网,且未对root用户进行有效管理,导致攻击者于1月30日10点38分通过SSH暴力破解登录受害服务器并下载恶意文件,于1月31日对网内资产进行暴力破解,由于路由器(1x.xx.xx.xx)、流量隧道、阿里云服务器(4x.xx.xx.xx)均未记录相关日志,故无法确定攻击源IP,已完成处置。
应急过程
1、通过对安全设备平台告警进行排查,发现2024年1月31日4点43分IP:1x.xx.xx.xx对网内资产进行SSH暴力破解攻击。
2、对路由器1x.xx.xx.xx进行排查,发现该路由器管理并为26台服务器分配地址,其中18台服务器在线,路由器未开启安全审计、上网行为管理等功能,故无法定位受害服务器。
3、对服务器192.168.1.xx进行排查,发现服务器于2024年1月31日4点42遭到来自192.168.1.3的SSH暴力破解攻击,未发现攻击成功记录及入侵痕迹。
4、对服务器192.168.1.3进程进行排查,发现服务器将22端口映射到阿里云服务器4x.xx.xx.xx。
5、对服务器日志进行排查,发现服务器于2024年1月30日10点38分遭到来自127.0.0.1的SSH暴力破解攻击,并成功登录root用户。
6、对服务器文件进行排查,发现可疑文件夹/media/.w。
7、对可疑文件夹/media/.w下的文件进行排查,查看可疑文件“lan”发现其为恶意脚本,用于执行端口扫描工具“m”、恶意文件“pars2”、“parse”、“pfile”、“openssh”并篡改系统文件“sysctl.conf”。
8、对可疑文件夹/media/.w下的文件进行排查,查看可疑文件“scnX”发现其为恶意脚本,脱掉其壳后发现,其用于执行暴力破解工具 “parse”。
9、对可疑文件夹/media/.w下的文件进行排查,查看可疑文件“pass”发现其为用于暴力破解的字典,排查可疑文件“scan.log”发现其为端口探测扫描结果文件。
10、对文件/media/wget-log进行排查,发现恶意文件http://java[.]wf/lan[.]jpg的下载记录,该文件解压后为恶意文件夹“/media/.w”。
11、对恶意文件“a”进行动态沙箱检测,经检测,发现上述文件为portscan端口扫描工具。
12、对恶意文件“m”进行动态沙箱检测,经检测,发现上述文件为msscan端口扫描工具。
13、对恶意文件“parse”进行动态沙箱检测,经检测,发现上述文件为SSH暴力破解工具,如暴力破解成功生成文件found.lst。
14、对阿里云服务器4x.xx.xx.xx端口连接情况、进程、启动项、计划任务等排查,未发现异常,未发现autossh日志。
处置措施
删除恶意文件夹/media/.w/
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
