1 环境准备
**攻击机**:kali(192.168.130.131)
**靶机**:Ubuntu(192.168.130.138)
**攻击方式**:SSH弱口令
2 攻击阶段
(1)通过端口扫描工具,对服务器进行端口探测尝试,发现开启了22端口;
(2)通过hydra工具暴力尝试破解用户名和密码,发现暴破成功,用户名为:root/root
(3)在攻击机上准备挖矿病毒
(4)接下来进行攻击入侵,等待脚本运行
3 应急响应
3.1 检测阶段
(1)查看服务器系统整体运行情况,发现名为dbused的可疑进程大量占用系统CPU使用率
(2)查看是否存在异常下载行为,发现wget和curl都存在异常行为
(3)查看可疑进程所对应的文件路径,发现存在/tmp目录下
(4)查看异常网络连接状态,发现可疑IP:192.168.130.131进行SSH连接
(5)检查异常进程,发现都是root用户在运行
(6)将可疑dbused文件下载下来,上传到VirusTotal,如图所示,最终确定为挖矿病毒
(7)查询特权用户和远程登录的账号信息,未发现可疑用户
(8)查看除root外的用户权限,未发现异常
(9)查看登录系统失败的用户,并在/var/log目录下查看btmp,发现可疑IP(192.168.130.131)进行大批SSH暴力破解:
(10)查看域名hosts,未发现异常
(11)查找最近24小时内修改过的文件
(12)查看历史命令
(13)查看驻留程序生成时间,最后一次改动时间为:2021-11-11 17:13:21
(14)查看服务器定时任务,在定时任务中也发现存在请求外部地址的恶意指令:
(15)查看用户的登录行为,在~/.bash_profile文件发现了下面这一行异常代码
(16)查询启动脚本的任务,发现五个可疑文件
(17)依次查看rc.d、init.d、系统服务,共发现8个异常文件
find /etc/ -name ‘’ | xargs grep ‘dbuse’ |grep rc
find /etc/ -name '’ | xargs grep ‘dbuse’ |grep init.d
find /etc/ -name ‘*’ | xargs grep ‘dbuse’ |grep systemd
(18)查看/tmp目录,共发现4个异常文件
(19)检查/etc/ld.so.preload(该文件默认为空),未发现异常的动态链接库
(20)访问定时任务中可疑链接,下载xms文件进行分析
3.2 根除阶段
(1)通过检查阶段可发现,导致挖矿病毒产生的原因为攻击者暴力破解了SSH密码,通过SSH连接传入挖矿病毒。
(2)修改弱密码,增加密码复杂度
(3)修改/etc/hosts文件,确保可疑地址不被解析
(4)杀掉进程
(5)删除恶意程序文件(程序文件采用了附加属性a i,无法直接rm删除,需使用chattr命令去除附加属性后rm删除)
(6)删除启动脚本的可疑任务文件(程序文件采用了附加属性a i,无法直接rm删除,需使用chattr命令去除附加属性后rm删除)
(7)清理定时任务/var/spool/cron/crontabs/root /var/spool/cron/crontabs/root(程序文件采用了附加属性a i,无法直接rm删除,需使用chattr命令去除附加属性后rm删除)
(8)重新启动服务器,发现未出现异常行为
(9)修复漏洞
1)设置密码通常遵循以下原则:
不使用空口令或系统缺省的口令,这些口令众所周之,为典型的弱口令;
口令长度不小于8个字符;
口令不应该为连续的某个字符(例如:AAAAAAAA)或重复某些字符的组合(例如:tzf.tzf.);
口令应该为以下四类字符的组合,大写字母(A-Z)、小写字母(a-z)、数字(0-9)和特殊字符。每类字符至少包含一个。
至少90天内更换一次口令,防止未被发现的入侵者继续使用该口令。
2)修改/etc/ssh/sshd_config,将PasswordAuthentication no改为yes并去除注释。在服务器上针对ssh服务启用公钥登录,禁用密码登录;
3)定期检查各远程办公机构PC客户端安全软件安装情况及病毒库更新情况,确保每台主机安全防护是有效可用的;
4)要求各远程办公部门定期对PC进行杀毒。