记录一次自己的小VPS应急

引言~

今天登上去我的小vps修改一下CS配置,登录之后感觉vps异常的卡顿,第一时间使用top确认服务器是不是中了挖矿,简单排查后并未发现有挖矿的存在,随后习惯性的使用lastb查看服务器是否存在异常登录事件;回车后一看,发现俺的小vps惨遭爆破,爆破失败次数高达18w次!并且就在我登录成功之后,仍旧有爆破的日志在产生,之前天天过去甲方应急,现在终于轮到自己了~~
身为一名安全从业者,立马展开对vps的安全检查,一顿操作过后,并未发现服务器受到实质性的危害,但目前爆破的动作还在,由于是廉价vps,这样不要命的爆破会严重拉低服务器性能,为了应对此次事件,故有了下文:

在这里插入图片描述


事件排查及处理

由于大量的爆破导致服务器异常卡顿,目前首要任务就是先把服务器稳定下来;netstat -anpt 查看端口情况,发现22端口和80端口存在异常外链;因为这个vps部署了个测试站点,查看web日志时,发现大量可疑目录请求,这里初步判断攻击者的动作为:web目录扫描和ssh弱口令爆破,得出这两个异常点后,马上对这两个异常端口进行流量封堵

关于linux下的病毒查杀可参考下面文章:
https://blog.csdn.net/chest_/article/details/106338221

在这里插入图片描述
在这里插入图片描述

由于我vps上的web服务万年不用,所以直接简单粗暴的把web服务停了,之后直接把web端口更改,80端口停用~~

对于ssh的处理,我这边是选择直接更改ssh端口,把22端口改为其它高位端口,从而减少被扫描成功的风险

vim /etc/ssh/sshd_config  #修改ssh默认端口
service sshd restart #重启ssh

在这里插入图片描述

一切修改完成后,重启服务器;当再次登录服务器检查,发现服务器流畅的飞起(假的),廉价vps,再怎么优化也还是卡啦,不过相比刚刚,确实流畅了不少
在这里插入图片描述
在这里插入图片描述

既然事情处理完成了,那就简单分析一下这个僵尸网络吧



僵尸网络分析

查看日志可清晰的看出攻击者爆破痕迹,再次分析日志后,可得出攻击者最早开始爆破的时间为:2020.6.15 12.25 ,由于我写这篇文章时,已经处理好该事件,故停止攻击时间为:2020.6.25 23.30 ;通过分析可知,攻击者在接入僵尸网络后,采取了多个常用账号对我的vps进行爆破,但由于本vps口令复杂,故爆破失败;

在这里插入图片描述

在这里插入图片描述

通过分析,可以确认以下爆破ip均为僵尸网络,由于ip数量较为庞大,故选取了top20样本分析
在这里插入图片描述

样本ip:

106.112.141.204
106.53.58.58
106.55.43.74
106.53.226.91
106.52.6.46
106.52.142.15
106.55.145.129
45.141.84.10
106.53.250.19
91.134.153.184
45.85.219.189
106.12.242.93
52.4.246.20
106.13.114.206
61.2.141.136
31.184.198.75
106.55.248.142
51.91.100.177
176.223.126.113
137.74.54.147

随机挑了几个样本IP进行分析,发现这些IP或多或少都存在一些高危漏洞,攻击者也正是利用这些漏洞,才将这些受害IP纳入了僵尸网络的一员,比如下图的redis未授权访问漏洞:

在这里插入图片描述

在这里插入图片描述

这些样本IP多数来着境外,由于IP数量庞大,所以没有逐个分析,本来还想着渗透一波这些站点,但后来想到,虽说是境外的站点,但是渗透测试还是授权的情况下再搞吧,国内非授权测试被奖励银手镯的案件并不少见,何况咱是遵纪守法的好公民~~

在这里插入图片描述

之后经过多手法分析,发现这些僵尸网络只针对弱口令和网站备份文件这类漏洞进行利用,但由于服务器均不存在此类漏洞,故没被纳入僵尸网络的一员;看了下时间,凌晨12点多了,如果真的要溯源,那得消耗大量时间,况且是一个这么庞大的僵尸网络,所以也就洗洗睡了~~



小结

由于服务器没有受到实质性的危害,所以也就简单分析下了事了,对于应急溯源,前前后后共做了10多次,每次应急事件出现,几乎都是自己一个去搞的,所以对于应急,虽然不能说是很强了,都是处理起来还是不差的;应急响应和渗透测试也做了挺长一段时间了,存了好多实战的报告,这里面大多都包含了我渗透测试和处理应急事件的一些个人思路及方法,但目前实习阶段,也正准备跳槽了~~,这个就有时间在写吧。

下面是一些处理建议,因业务而异:
1.定期对系统进行全面的安全检查和安全评估;
2.禁掉不必要的端口,在不影响业务的情况下,可将常见端口更改为高位端口,以避免扫描成功的风险;
3.网站的备份文件不要就删除,千万不要放到web目录下!对于弱口令,千万不要用,尤其是在公网业务,做好这几点,可大大减少被攻击成功的概率;

  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值