一、概述2022年3月底 , 在网络安全监测中发现某网络攻击组织利用SSH爆破投放挖矿程序的活动比较活跃 , 主要涉及的是一个haiduc的工具 。
二、检测定位阶段工作说明2.1、异常现象确认
服务器被植入木马病毒 , 并对内网进行暴力破解 。本次发起暴力破解的主机为10.101.2.210 。
2.2、溯源分析过程
通过态势感知查看暴力破解检测日志 , 发现最早从2月16日凌晨3点半左右出现暴力破解告警情况 , 攻击源为10.101.2.210服务器 。
三、抑制阶段工作说明临时配置防火墙禁止101.2.210访问其他区域服务器22端口;
修改服务器10.101.2.210弱密码为强口令;
【→所有资源关注我 , 私信回复“资料”获取←】四、根除阶段工作说明1.进程分析:ps -ef 查看运行进程 , 发现大量sshd命令
1、网络安全学习路线
2、电子书籍(白帽子)
3、安全大厂内部视频
4、100份src文档
5、常见安全面试题
6、ctf大赛经典题目解析
7、全套工具包
8、应急响应笔记
文章插图
2.通过异常进程PID查看恶意程序 , 发现指向usr/share/man/.md/haiduc这个文件
文章插图
3.进入到指定文件夹目录下
文章插图
4.拷贝下来进行病毒分析
文章插图
上传微步沙箱分析
文章插图
5.进行目录文件解剖(存在爆破IP和账号密码信息)
文章插图
文章插图
6.登录安全:ssh免密登录排查
文章插图
未发现配置有可疑的ssh免密登录keys
7.服务器最近登录日志分析
文章插图
其中:10.100.2.40、10.100.2.80、10.17.250.179为工程师IP 。
最早登录时间:2月16日 03:34 , 登录IP: 10.100.2.211
8.查看最近爆破登录日志
文章插图
文章插图
该机器发现有被ip10.101.31.4进行ssh爆破的记录 , 最早时间3月12日 , 未发现其他爆破情况;
9.账号异常排查
文章插图
文章插图
分析:未发现异常可疑账号
10.查看历史操作日志
文章插图
文章插图
分析:发现恶意脚本haiduc被执行的记录和远程下载恶意文件的记录
11.自启动项分析
文章插图
未发现异常
12.计划任务
文章插图
未发现异常
13.根除
(1)修改弱口令为强复杂度扣口令
(2)Kill -9 haiduc 强行杀毒恶意进程后 , 进程断开
杀死进程前
文章插图
杀死进程后
文章插图
(3)删除对应的文件目录和文件
文章插图
文章插图
截止目前 , 服务器恶意进程停止和态势感知恶意告警消失 。
分析小结通过分析判断 , 极有可能主机10.101.2.210于2月16日凌晨3点前后被植入病毒文件 , 并通过SSH爆破的方式进行内网传播 。经过对病毒的传播方式进行分析 , 很可能为ip 10.101.2.211登录该主机远程下载恶意文件haiduc导致 。对进程和病毒文件进行清理之后 , 病毒未复发 。
推荐阅读
- 多久洗一次车合适?什么情况下要及时洗车?
- 第一次吃金毓婷很害怕怎么办,吃了一颗金毓婷为啥一点反应都没有正常吗
- Rsync如何利用SSH加密隧道同步文件
- 挂烫机用时间长了里面怎么清理水垢 挂烫机多久清洗一次
- 丽江古城,第一次去,怎么玩才带劲儿?
- 探索马里亚纳海沟 人类第一次探索马里亚纳海沟
- 记一次生产环境部署NTP服务及配置时间同步
- 压缩袋如何使用 压缩袋只能使用一次吗
- 有回收小百货的吗 零售价一次性回收清货
- 家用吸尘器一次性尘袋 吸尘器的防尘袋用清洗吗