应急响应之云服务器入侵排查

最新推荐文章于 2024-09-30 14:59:18 发布
最新推荐文章于 2024-09-30 14:59:18 发布
阅读量575 收藏 6
点赞数 14
分类专栏: 应急响应 文章标签: 服务器 数据库 运维 web安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43332640/article/details/134994202
版权

参考:https://support.huaweicloud.com/bestpractice-securityInfo/securityInfo_01_0026.html

背景:

由于在搭建钓鱼服务器的过程中,为了方便使用新建了一个弱口令账户,结果被黑客爆破进入,进而开始了挖矿攻击。

排查流程

查看异常进程

ps -aux

查询命令:top

根据CPU占用率、进程名称等判断是否存在异常进程,如下可疑进程CPU占用率超过100%。

根据异常进程PID值,查看文件位置。

查询命令:lsof -p+进程PID值

发现目录下的异常文件(带有xmr或mine的标识)。

查看文件命令:ll -art

注意:查询木马路径:pwd

查询文件中是否存在异常地址:strings +文件名(如config.json)

异常网络连接

netstat -ano

异常计划任务

cd /var/spool/cron/crontabs/

ll -art

查看到两个计划任务文件,root、master

继续查看里面的内容

查看异常文件

cd /home/master/.configrc5/

查看a、b目录下面的文件

查看异常秘钥

主机日志异常登录ip

sudo cat /var/log/auth.log |grep Acc

可以看到大量对master账户爆破的记录

入侵分析

根据上述异常截图显示,主机因master用户弱口令导致黑客入侵

解决方案

主机已确认被入侵,系统已变的不可信任!为安全起见,建议备份关键业务数据,择机重装系统,给所有账户及应用设置强密码,在安全组里对端口做限制(如:22等)

加固建议

1、设置所有OS系统口令(包括管理员和普通用户)、数据库账号口令、应用(WEB)系统管理账号口令为强口令,密码12位以上;将主机登录方式改为秘钥登录彻底规避风险:

     强口令设置要求参照:https://bbs.huaweicloud.com/blogs/87a98385ec6411e79fc57ca23e93a89f

     秘钥登录设置参照:https://bbs.huaweicloud.com/blogs/eff0e5af7d7f11e7b8317ca23e93a891

2、严格控制系统管理员账户的使用范围,为应用和中间件配置各自的权限和并严格控制使用范围。

     禁止不必要的端口直接暴露在公网,设置防火墙规则或配置安全组策略来禁止端口开放情况;非公共开放的业务端口(如SSH),建议设置只允许特定的IP进行连接;安全组配置示例链接如下:https://support.huaweicloud.com/usermanual-vpc/zh-cn_topic_0081124350.html

3、启动安全组白名单策略,根据业务需求对外开放端口,对于特殊业务端口,建议设置固定的来源IP(如:远程登录)或使用VPN、堡垒机建立自己的运维通道。

4.建议定期做好数据备份(虚拟机内部备份,异地备份,云上云下备份等),避免被加密勒索;

5.定期检查系统和软件中的安全漏洞,及时打上补丁

林小陌啊
关注
专栏目录
入侵检测·
wzp66666666的博客
08-23 788
本地检测方法云平台的检测方法。
Docker 容器入侵排查
06-14 2380
随着越来越多的应用程序运行在容器里,各种容器安全事件也随之发生,例如攻击者可以通过容器应用获取容器控制权,利用失陷容器进行内网横向,并进一步逃逸到宿主机甚至攻击K8s集群。容器的运行环境是相对独立而纯粹,当容器遭受攻击时,急需对可疑的容器进行入侵排查以确认是否已失陷,并进一步进行应急处理和溯源分析找到攻击来源。在应急场景下,使用docker命令可以最大程度利用docker自身的特性,快速的获取相关...
网络安全----应急响应入侵排查
qq_51690690的博客
09-09 1576
一屋不扫何以扫天下?
容器受到攻击时该如何应对,容器安全给你答案
HoewDec的博客
04-14 512
然而,随着技术的不断发展和新的安全威胁的出现,我们还需要持续关注和研究新的安全技术和方法,不断完善和优化容器安全体系。2.全面的补丁数据呈现:深入检测运行环境和远程镜像仓库中容器镜像的重要更新补丁,综合考虑系统的业务影响、资产及补丁的重要程度、修复影响情况,智能提供最贴合业务的补丁修复建议。容器存在一个新的攻击面,需要不同的安全措施、响应策略和取证方法。1.容器资产种类全面盘点:支持容器、镜像、Registry、主机、POD等容器资产快速清点,为用户提供容器内资产的分类视图,实现容器资产的全面可视化。
系统入侵排查(二) Linux入侵排查
Hey_1_Kong的博客
08-06 476
Linux入侵排查基本步骤与操作
应急响应Linux入侵排查思路
09-18
应急响应Linux入侵排查思路: 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第...针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 Linux 服务器入侵排查的思路。
网络安全——应急响应入侵排查
W981113的博客
02-14 7235
一、windows入侵排查 1.入侵排查思路 1.1 检查系统账号安全 1.查看服务器是否有弱口令、远程管理端口是否对公网开放 (根据实际情况咨询相关服务器管理员) 2.检查服务器是否存在可疑账号、新增账号 (打开cmd窗口,输入lusrmgr.msc命令,查看是否有可疑或者新增的账号,若存在管理员Administrators群组内新增的账户,请立即禁用或者删除) 3.查看服务器注册表是否存在隐藏账号、克隆账号 (打开注册表–regedit.exe或者regedit,查看管理员对应键值) (使用D盾查杀
应急响应-攻击入侵排查 教学PPT
11-17
总结来说,应急响应中的攻击入侵排查是一项复杂的工作,需要对WEB日志、系统日志有深入理解,并能识别各种攻击行为的特征。同时,掌握有效的检查工具是快速定位和解决安全问题的关键。通过不断学习和实践,网络安全...
服务器入侵应急响应,服务器入侵应急响应排查Linux篇)
05-19
下面介绍一下 Linux 系统下的服务器入侵应急响应排查方法: 1. 收集信息:首先需要确定是否存在入侵,需要收集服务器日志、网络流量、进程信息等,可以使用一些工具如 tcpdump、iftop、lsof 等进行收集。 2. 初步...
安全服务】应急响应1:流程、排查与分析
热门推荐
kkza的博客
09-08 1万+
一、应急响应流程 应急响应分为六个阶段,分别是 准备 —— 检测 —— 抑制 —— 根除 —— 恢复 —— 总结 这种划分方法也称PDCERF方法 实际上,应急响应并不是严格遵从这个方法的,大多数情况都要具体问题具体分析 1 准备阶段 以预防为主,主要是要进行风险评估等工作,包括建立信息安全管理体系、部署安全设备和安装防护软件、建立应急响应和演练制度等等。 2 检测阶段 这个阶段是在安全事件发生后的,主要是判断安全事件是否还在发生,安全事件产生的原因,对业务的危害程度以及预计如何处理。 ..
Docker入侵检查记录
墨痕诉清风的博客
11-24 2989
是Docker命令行工具提供的一个命令,用于获取有关Docker对象(如容器、镜像、网络等)的详细信息。命令输出的结果是一个JSON格式的文本,包含有关Docker对象的详细信息。快速定位镜像文件系统在宿主机上对应的目录,从镜像中提取恶意文件进行对比,以确认入侵的源头为恶意镜像。从镜像中提取 Dockerfile,在这里可以清晰地看到恶意镜像构建的过程,找到恶意挖矿程序的样本。是要检查的Docker对象的标识符,可以是容器ID、镜像ID、网络名称等。追溯镜像的来源,解析Dockerfile文件是关键步骤。
保护容器环境免受安全威胁和漏洞攻击 - 容器编排平台的安全漏洞与漏洞扫描
技术星球
08-26 296
随着容器技术的快速发展,容器编排平台成为了现代化应用交付的核心组件。然而,容器环境中存在着各种安全漏洞和威胁,这对应用程序和数据的安全性构成了严重威胁。本文将介绍容器编排平台的安全漏洞和漏洞扫描,以及如何保护容器环境免受安全威胁和漏洞攻击。
护网笔记(四)-Linux基础及入侵排查
CK_0ff的博客
01-07 1924
文章目录
排查Linux机器是否已经被入侵
weixin_38169786的博客
09-20 778
随着开源产品的越来越盛行,作为一个Linux运维工程师,能够清晰地鉴别异常机器是否已经被入侵了显得至关重要,个人结合自己的工作经历,整理了几种常见的机器被黑情况供参考 背景信息:以下情况是在CentOS 6.9的系统中查看的,其它Linux发行版类似 1.入侵者可能会删除机器的日志信息,可以查看日志信息是否还存在或者是否被清空,相关命令示例: [root@hl...
tftp传文件被服务器拒绝进入tftp: server error: (768) Access to staonline.pcap denied
wj31932的博客
09-30 1033
原因分析,ac没有端口alg功能,对tftp协议,后续消息会改变端口发来,而ac的conntrack记录表的五元组里没有对应的表项,导致ac直接回icmp端口不可达项。tftp的usb网卡接ap同一网段的接口,ap的抓包传到usb网卡的ip上,这样不经过ac的nat功能。发现源地址ac的wan口地址,而目标地址是tftp服务器的地址,而且ttl是64,表示是ac直接发出,而不是经过转接的icmp消息。对应ap的抓包,ack并没有收到,而且也没有icmp消息发出,据此判断ac直接回的目标端口不可达。
在 Ubuntu 下通过 Docker 部署 NAS 服务器
shelby_loo的博客
09-30 599
Docker 是一个开源的容器化平台,通过将应用及其依赖打包到容器中,简化了软件的部署与管理。Docker 可以让我们轻松地在任何环境中运行应用,并且可以快速地创建、移动和复制容器。对于 NAS(网络附加存储)软件,最受欢迎的选择之一是。它是一个基于 Debian 的 NAS 解决方案,提供了丰富的功能,如文件共享、备份、用户管理等。通过 Docker 部署 OpenMediaVault,不仅节省系统资源,还能实现快速恢复和轻松升级。
ping香港服务器超时的原因通常有哪些?
最新发布
JttiSEO的博客
09-30 274
解决ping服务器超时的问题通常需要从网络链路的各个环节逐一排查,从本地网络开始,逐步向服务器端和网络路径上的各个节点进行检查。- 跨国路由问题:如果服务器和客户端位于不同国家,数据包可能需要经过多个网络,容易因路由问题导致超时。- 客户端配置问题:客户端的网络配置问题(如错误的IP地址或子网掩码)也可能导致ping请求超时。- 服务器带宽饱和:如果服务器的网络带宽被占满,可能导致新的请求无法及时处理。- 服务器系统问题:操作系统故障或不当的配置可能导致无法响应ping请求。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

林小陌啊

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值