应急响应-爆破漏洞应急响应流程(以SSH爆破为例)

于 2024-09-01 11:24:26 发布
阅读量395 收藏 4
点赞数 18
分类专栏: 网络安全 # 应急响应 # 主机安全 文章标签: ssh 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lady_killer9/article/details/141462176
版权

目录

概述

爆破漏洞是比较常见漏洞,端口开放,管理后台没有做登录频率限制等情况都可能遭受到爆破攻击,本文以SSH爆破为例,介绍下应急响应流程。

研判分析

8月23日00时13分收到告警,主机VM-0-16-centos被爆破成功
在这里插入图片描述
在这里插入图片描述
根据告警,可以知道是SSH爆破,源ip是172.19.0.3。

登录成功

不同操作系统日志位置不同

  • RHEL(例如,centos):/var/log/secure
  • Debian(例如,ubuntu): /var/log/auth.log

通过日志查询

cat /var/log/secure |grep 172.19.0.3|grep "Accepted password"|awk '{print $11}'|sort -nr |uniq -c|sort -nr

在这里插入图片描述
通过命令查询

last | grep 172.19.0.3

在这里插入图片描述

登录失败

查看登录失败日志

cat /var/log/secure |grep 172.19.0.3|grep "Failed"

在这里插入图片描述

统计登录失败次数

cat /var/log/secure |grep 172.19.0.3|grep "Failed"| wc -l

在这里插入图片描述

历史命令

查看攻击时间段内的记录
在这里插入图片描述

authorized_keys

cat ~/.ssh/authorized_keys

在这里插入图片描述
发现新增公钥

定损止损

查看日志,发现新增公钥操作,无其他异常,仅告警机器有影响。止损时可以先断开源ip的网络,例如云服务器的安全组或者使用iptables。

攻击链路还原

登录攻击机器排查,由于进程已销毁,搜索相关恶意文件。

locate brute

在这里插入图片描述
可以看到可能是执行了ssh_brute.py

清理恢复

删除authorized_keys文件中多余的公钥即可。172.19.0.3机器不清楚攻击入口的话可以重启或重装操作系统。

总结复盘

8月23日00时13分收到SSH爆破成功告警,ip为172.19.0.16的机器被攻击,来源ip是172.19.0.3,经研判分析,攻击者从8月23日00时06分开始发起攻击,失败115次,成功2次,成功后修改了authorized_keys文件,已还原。来源机器为业务测试机器,未找到攻击入口,重装了操作系统。MTTD 7分钟,MTTC 20分钟。

参考

主机安全-网络攻击监测
应急响应-主机安全之网络相关命令(Linux操作系统)
应急响应-应急响应流程(各个阶段与实战)
应急响应-主机安全之系统及进程排查相关命令(Linux操作系统-初级篇)

lady_killer9
关注
  • 18
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
一次SSH爆破攻击haiduc工具的应急响应
2401_84466225的博客
06-24 2313
2022年3月底,我安服团队在网络安全监测中发现某网络攻击组织利用SSH爆破投放挖矿程序的活动比较活跃,主要涉及的是一个haiduc的工具。服务器被植入木马病毒,并对内网进行暴力破解。本次发起暴力破解的主机为10.101.2.210。通过态势感知查看暴力破解检测日志,发现最早从2月16日凌晨3点半左右出现暴力破解告警情况,攻击源为10.101.2.210服务器。临时配置防火墙禁止101.2.210访问其他区域服务器22端口;修改服务器10.101.2.210弱密码为强口令;
网络安全应急响应----3、Linux入侵排查
七天
03-17 2214
文章目录一、系统排查1、系统信息2、用户信息3、启动项4、任务计划5、历史命令二、进程、端口排查三、服务排查四、文件痕迹排查五、日志分析六、内存分析七、流量分析 一、系统排查 1、系统信息 查看CPU相关信息 # lscpu 操作系统信息 # uname -a # cat /proc/version 查看已载入系统的模块信息 # lsmod 2、用户信息 //查看系统所有用户信息 1、# cat /etc/passwd 用户名:密码:用户ID:组ID:用户说明:家目录:登
蓝队应急响应-Linux日志分析及常用命令总结
网络安全
07-12 864
玄机靶场地址:https://xj.edisec.net/第一章应急响应-Linux日志分析1.有多少IP在爆破主机ssh的root帐号,如果有多个使用","分割2.ssh爆破成功登陆的IP是多少,如果有多个使用","分割 3.爆破用户名字典是什么?如果有多个使用","分割 4.登陆成功的IP共爆破了多少次 5.黑客登陆主机后新建了一个后门用户,用户名是多少在Linux系统下,日志默认存...
应急响应实战 | 主机被入侵的经历分析
黑战士的博客
07-16 704
非web类后门,大部分人习惯把恶意文件放置在/tmp目录下,此外可通过可疑进程名与cpu占用率排查,有些后门会伪装正常进程名,但是top命令可通过cpu占用率找出后门进程,获取进程pid后可cd到/proc/对应pid目录,ls –al查看exe对应值可得知文件路径,另外可查看计划任务,后门程序为保证自启动往往会添加新的计划任务。是否单独清除了相关记录?与相关人员确认得知,服务器由于特殊原因对外开放了22端口,并且机器为弱口令,结合此信息,推测服务器为暴力破解ssh入侵,故排查secure日志。
第164天:应急响应-挖矿脚本检测指南&威胁情报&样本定性&文件清除&入口修复
qq_46081990的博客
07-06 618
挖矿病毒的背景一般是CPU、GPU占用很高,服务器耗电量很大我们上来首先做的是看CPU、GPU占用率,定位占用率很高的进程找到挖矿病毒样本,将病毒样本放到微步在线上分析由于挖矿病毒通常会做权限维持,单纯删除病毒文件无法根治,还是会重新生成所以要继续排查计划任务、启动项、映像劫持等,删除干净后,杀死进程并删除病毒文件即可由于黑客能上传挖矿病毒,那必定是拿到了服务器权限的,所以重点还需要知道黑客是如何进来的(比如黑客通过ssh弱口令爆破拿到的服务器,那么我们如何知道呢?
【记一次真实的挖矿病毒应急响应
一纸荒芜的博客
03-25 2308
分享一起真实的挖矿病毒应急响应案例
网络安全应急响应最全教程(2023年7月)
qq1140037586的博客
06-26 8460
1、概念及应急响应流程 应急响应流程是一种在突发事件发生时组织和协调资源、快速响应并减轻损失的计划。一个有效的应急响应流程可以帮助组织提高应对风险的能力,保障人员安全和财产
应急响应-HW之Linux 应急响应之入侵排查技巧
lza20001103的博客
08-26 717
HW之Linux 应急响应之入侵排查技巧 文章目录HW之Linux 应急响应之入侵排查技巧识别现象->清除病毒->闭环兜底->系统加固01识别现象系统CPU是否异常是否存在可疑进程安全网关有无报警有无可疑历史命令02清除病毒结束病毒进程03闭环兜底检查是否存在可疑定时任务检查是否存在可疑服务检查系统文件是否被劫持检查是否存在病毒守护进程04系统加固修改SSH弱密码添加命令审计生成效果打上常见Web漏洞补丁结尾 Linux环境下处理应急响应事件往往会更加的棘手,因为相比于Windows,Li
服务器病毒木马通用排查处理应急响应流程
it知识分享 free for nothing..
03-18 2179
服务器病毒木马通用排查处理应急响应流程
2022全国职业技能大赛“信息安全管理与评估“--应急响应日志分析解析(高职组)
Aluxian_的博客
02-16 4716
竞赛有固定的开始和结束时间,参赛队伍必须决定如何有效的分配时间。请认真阅读以下指引!(1)当竞赛结束,离开时请不要关机;(2)所有配置应当在重启后有效;(3)除了CD-ROM/HDD/NET驱动器,请不要修改实体机的配置和虚拟机本身的硬件设置。所需的设备、机械、装置和材料所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。评分方案本项目模块分数为350分。
如何做好应急响应工作?常见应急响应流程
HBohan的博客
01-11 5986
1.应急响应的最终目标是保护客户的核心资产,所有行为必须围绕:保护、避害、不损害来进行。 2.在现在愈加复杂的攻击下,上述的常见场景一般会出现复合情况,需要应急人员根据经验去进行。 3.应急人员应有自己的方法论,对不同攻击的威胁建模,拥有威胁情报分析能力,结合工具的辅助进行现场响应与远程支撑。 4.工具和排查点大同小异,提升方法在于应急人员的是否熟悉该种攻击,利用特征和行为去排查更节省时间。 5.红蓝同源,应急响应属于蓝队,但必须具备一定的渗透能力。
网络安全事件应急响应实战二
热门推荐
悦分享
09-14 1万+
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业。新闻源网站一般权重较高,收录快,能够被搜索引擎优先收录,是黑灰产推广引流的必争之地,很容易成为被攻击的对象。短连接(short connnection)是相对于长连接而言的概念,指的是在数据传送过程中,只在需要发送数据时,才去建立一个连接,数据发送完成后,则断开此连接,即每次连接只完成一项业务的发送。
windows入侵应急响应检查思路及流程
weixin_45552912的博客
07-30 494
ogs/catalina.xx.log logs/host-manager.xx.log logs/localhost.xx.log logs/manager.xx.log 主要记录系统启、关闭日志、管理日志和异常信息。1、卡巴斯基:http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe。打开cmd,然后输入 schtasks.exe,检查计算机与网络上的其它计算机之间的会话或计划任务,如有,则确认是否为正常连接。
服务器安全应急响应流程
weixin_30632089的博客
10-12 894
参考:https://mp.weixin.qq.com/s?__biz=MzI4NTA1MDEwNg==&mid=2650759483&idx=1&sn=c98277d4f9eb252409a177756b222b8a&chksm=f3f9d4aec48e5db85e07e998cc7052eeac3165f549e4f43dc0fa0789c3d3da00...
Docker容器技术
LongHongYu908的博客
08-29 796
Docker之父Docker就好比传统的货运集装箱。
前端开发学习Docker记录02容器操作
第⑦个前端
08-29 3537
使用docker ps 可以看到有哪些镜像在运行。
云动态摘要 2024-08-28
cloudcheap的博客
08-28 973
给您带来云厂商的最新动态,最新产品资讯和最新优惠更新。
VMware15安装教程(Pro版)
最新发布
2402_85577687的博客
08-31 359
2.双击打开解压出来的文件夹,选中“VMware-workstation-full-15.5.0-14665864.exe”鼠标右键以管理员身份运行。1.选中下载的压缩包,鼠标右键解压到”VMware Workstation Pro 15.5“文件夹。4.勾选我接受许可协议条款,然后点击"下一步”10.软件安装中......,耐心等待完成。7.如下图标记的勾去掉然后点击"下一步"5.更改安装位置点击"下一步"
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

lady_killer9

感谢您的打赏,我会加倍努力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值