参考:https://support.huaweicloud.com/bestpractice-securityInfo/securityInfo_01_0026.html
背景:
由于在搭建钓鱼服务器的过程中,为了方便使用新建了一个弱口令账户,结果被黑客爆破进入,进而开始了挖矿攻击。
排查流程
查看异常进程
ps -aux
查询命令:top
根据CPU占用率、进程名称等判断是否存在异常进程,如下可疑进程CPU占用率超过100%。
根据异常进程PID值,查看文件位置。
查询命令:lsof -p+进程PID值
发现目录下的异常文件(带有xmr或mine的标识)。
查看文件命令:ll -art
注意:查询木马路径:pwd
查询文件中是否存在异常地址:strings +文件名(如config.json)
异常网络连接
netstat -ano
异常计划任务
cd /var/spool/cron/crontabs/
ll -art
查看到两个计划任务文件,root、master
继续查看里面的内容
查看异常文件
cd /home/master/.configrc5/
查看a、b目录下面的文件
查看异常秘钥
主机日志异常登录ip
sudo cat /var/log/auth.log |grep Acc
可以看到大量对master账户爆破的记录
入侵分析
根据上述异常截图显示,主机因master用户弱口令导致黑客入侵
解决方案
主机已确认被入侵,系统已变的不可信任!为安全起见,建议备份关键业务数据,择机重装系统,给所有账户及应用设置强密码,在安全组里对端口做限制(如:22等)
加固建议
1、设置所有OS系统口令(包括管理员和普通用户)、数据库账号口令、应用(WEB)系统管理账号口令为强口令,密码12位以上;将主机登录方式改为秘钥登录彻底规避风险:
强口令设置要求参照:https://bbs.huaweicloud.com/blogs/87a98385ec6411e79fc57ca23e93a89f
秘钥登录设置参照:https://bbs.huaweicloud.com/blogs/eff0e5af7d7f11e7b8317ca23e93a891
2、严格控制系统管理员账户的使用范围,为应用和中间件配置各自的权限和并严格控制使用范围。
禁止不必要的端口直接暴露在公网,设置防火墙规则或配置安全组策略来禁止端口开放情况;非公共开放的业务端口(如SSH),建议设置只允许特定的IP进行连接;安全组配置示例链接如下:https://support.huaweicloud.com/usermanual-vpc/zh-cn_topic_0081124350.html
3、启动安全组白名单策略,根据业务需求对外开放端口,对于特殊业务端口,建议设置固定的来源IP(如:远程登录)或使用VPN、堡垒机建立自己的运维通道。
4.建议定期做好数据备份(虚拟机内部备份,异地备份,云上云下备份等),避免被加密勒索;
5.定期检查系统和软件中的安全漏洞,及时打上补丁