Linux入侵后应急事件追踪分析

0x01 情况概述监控软件监控到服务器存在异常的访问请求,故对此服务器进行安全检查。通过提供的材料发现内网机器对某公网网站存在异常的访问请求,网络环境存在着异常的网络数据的访问情况。针对其服务器进行综合分析发现了病毒文件两例,内网扫描器两例,通过以上的发现证实服务器已被黑客入侵。0x02 取证情况2.1 目标网络情况下文中的内网内ip以及公网ip为替换后的脱敏ip。IP所属操作系统1.168.xxx.xxx某业务员服务器Linux2.6.32 x86_64操作系统192.168.0.0/24DMZ区Linux&windows10.10.0.0/24核心区Linux&windows防火墙2.2 针对xxx服务器中间件的检测监测存在异常的服务器开放了80端口和21端口,安装了tomcat中间件。首先进行tomcat中间件的排查,查询得知服务器对外开tomcat文件夹路径为/home/XXX/tomcat/XXX _tomcat ,查询tomcat未使用弱密码:

针对tomcat部署服务进行检查,未发现可疑部署组件:

2.3 针对xxx服务器进程及端口的检测针对目标服务器进行了进程以及端口的检测,发现了可疑现象入下图所示:

发现可疑现象后查找“l”所在的路径,入下图所示:

在/dev/shm路径下发现存在“l”与“conf.n”文件

将“l”与“conf.n”下载到本地进行分析,“l”程序为inux远控木马Linux.DDOS.Flood.L,经本地分析“l”程序为linux下僵尸木马,同时具有远控的功能

通过继续分析目标服务器中的可以进程与端口占用情况,发现另外可疑文件,如下图所示:

将可疑文件进行本地分析,证实此文件为病毒文件:

2.4 发现攻击者的攻击操作针对目标环境进行彻底排查,发现攻击者使用wget操作从 http://111.205.192.5:2356服务器中下载“l”病毒文件,并执行了“777”加权的操作。其记录文件如下图所示:

通过进一步的对可疑。通过分析目标服务器日志文件,发现攻击者下载病毒文件后又使用内网扫描软件“.x”调用其“pascan”和“scanssh”模块进行内网ssh扫描,通过分析发现攻击者收集到了目标网络环境中的常用密码来进行针对性的扫描测试。如下图所示:

通过继续对扫描软件进行深入挖掘,发现攻击者使用扫描软件得到的其他内网的ip地址(部分):尝试使用此地址中的192.168.21.231和192.168.21.218进行ssh登录,可使用root:huawei成功进行ssh连接(其他地址及口令不再进行测试),并在内网机器中发现使用弱口令“123456”并发现了同样的“l”病毒文件。其记录文件如下图所示:

在扫描器中发现了攻击者使用的“passfile”字典文件,从中可以发现攻击者使用的字典具有很强的针对性(初步断定攻击者为在网络环境中通过查询密码文件等操作获取的相关密码):隐私信息--此处不贴图通过继续对日志文件进行排查,发现攻击者使用扫描器进行攻击的历史记录,验证了搜集到的信息:

通过即系分析,发现攻击者在进入目标服务器后,又进行了防火墙权限修改、“udf”权限提升、远程连接等其他操作。其中“udf病毒文件”未在目标服务器中发现,在后期进行反追踪中在攻击者服务器中获取到“udf”文件,进行本地检测后病毒文件。其记录文件如下图所示:

通过对攻击者完整的攻击取证,可证实攻击者通过SSH连接的方式使用guest_cm用户而和root用户进行远程连接,连接之后使用Wget方式下载并种植在目标服务器中“l”和“vkgdqddusx”病毒文件,并使用“udf”进行进一步的权限操作,然后使用“.x”扫描软件配合针对性极强的密码字典进行内网的扫描入侵,并以目标服务器为跳板使用root和xxx账户登录了内网中的其他机器在入侵过程中入侵者将部分相关日志进行了清除操作。0x03 溯源操作3.1 关于攻击者的反向检测在取证过程中发现攻击者服务器使用以下三个ipxxx.xxx.xxx.x、xxx.xxx.xxx.xxx、xxx.xx.xxx.xx(打个马赛克)通过对这三个IP进行溯源找到http://111.205.192.5:2356/ 网站使用hfs服务器搭建,文件服务器内存储着各种病毒文件,其中找到了在“l”“udf”等病毒文件,证实前文中的判断。

通过其他手段查询得知使用ip地址曾绑定 www.xxxx.com网站,并查找出疑似攻击者真实姓名xxx、xxx,其团体使用xxxxxx@qq.com、wangzxxxxxx.yes@gmail.com等邮箱,使用61441xx、3675xx等QQ。并通过某种手段深挖得知攻击者同事运营着多个博彩、私服类网站。其他信息请看下图:

0x04 攻击源确定4.1 确定攻击入口处综合我们对内网多台服务器的日志分析,发现造成本次安全事件的主要原因是:10.0.xx.xx设备的网络部署存在安全问题,未对其进行正确的网络隔离,导致其ssh管理端口长期暴露在公网上,通过分析ssh登陆日志,该台设备长期遭受ssh口令暴力破解攻击,并发现存在成功暴力破解的日志,攻击者正是通过ssh弱口令获取设备控制权限,并植入木马程序进一步感染内网服务器。具体攻击流程如下图所示:

经分析,2016年1月12号公网ip为211.137.38.124的机器使用ssh爆破的方式成功登陆进入10.0.xx.xx机器,之后攻击者以10.0.16.24机器为跳板使用相同的账户登录进入192.168.xxx.xxx机器。

攻击者进入192.168.150.160机器后,于2016年1月17日使用wget的方式从http://111.205.192.5:23561网站中下载了 “Linux DDos”木马文件,并使用扫描器对内网进行扫描的操作。

攻击者通过相同的手段在2016年1月17日使用sftp传输的方式进行了木马的扩散行为,详细情况见下图:

0x05 安全性建议对使用密码字典中的服务器进行密码的更改。对网络环境进行彻底的整改,关闭不必要的对外端口。网络环境已经被进行过内网渗透,还需要及时排查内网机器的安全风险,及时处理。SSH登录限制,修改sshd配置文件由于服务器较多,防止病毒通过ssh互相传播,可通过修改sshd_config,实现只允许指定的机器连接,方法如下:登录目标主机,编辑/etc/ssh/sshd_config#!bash# vi /etc/ssh/sshd_confi在文件的最后追加允许访问22端口的主机IP,(IP可用*号通配,但不建议)分割线安全牛课堂-至尊技术会员360门课程任你看双11限时福利价:1111元/年(平时价:3999元/年)扫描二维码领取技术会员课程表

(0)

相关推荐

  • Serv-U服务器漏洞,黑客可远程执行程序

    近日,微软已经分享了有关影响 SolarWinds Serv-U 托管文件传输服务的现已修复.积极利用的关键安全漏洞的技术细节. 该漏洞源于 Serv-U 实施的 Secure Shell (SSH) ...

  • linux 服务器的25个强化安全提示

    Linux默认情况下是安全的,并同意进行一些扩展(这是有争议的话题).但是,默认情况下,Linux 具有内置的安全模型.需要根据你的需要对其进行调整和自定义,这可能有助于构建更安全的系统.Linux ...

  • 如何检查linux服务器是否被入侵 | 《Linux就该这么学》

    本指南中所谓的服务器被入侵或者说被黑了的意思,是指未经授权的人或程序为了自己的目的登录到服务器上去并使用其计算资源,通常会产生不好的影响. 免责声明:若你的服务器被类似 NSA 这样的国家机关或者某个 ...

  • 当粉丝朋友学会“缠论”后对个股的分析过程(实例)

    最近发文不多,和粉丝们聊天比较多.虽然回答的时间会比较晚,但还是互相学到不少的问题. 通过不短日子的交流,粉丝发来了他根据缠论对个股的分析的判断.先来看一下他是如何做的. 老得瑟评:先看月线,绿色线画 ...

  • 新冠肺炎实时疫情追踪分析2021.5.8

    地区 新增确诊 累计确诊 治愈 死亡 疫情 美国 49491 33418826 26324757 594911 详情 印度 401078 21892676 17930960 238270 巴西 788 ...

  • 投资项目后评价研究案例分析

    投资项目后评价研究案例分析

  • 新冠肺炎实时疫情追踪分析2021.5.7

    海外病例 默认按累计确诊排序 地区 新增确诊 累计确诊 治愈 死亡 疫情 地区 新增确诊 累计确诊 治愈 死亡 疫情 美国 47819 33369192 26105411 594006 详情 印度 4 ...

  • 新冠肺炎实时疫情追踪分析2021.5.9

    海外病例 默认按累计确诊排序 地区 新增确诊 累计确诊 治愈 死亡 疫情 地区 新增确诊 累计确诊 治愈 死亡 疫情 美国 35755 33454581 26405871 595588 详情 印度 4 ...

  • 我国新冠肺炎实时疫情追踪分析

    地区 新增确诊 现存确诊 累计确诊 治愈 死亡 疫情 重庆 0 5 596 585 6 详情 香港 2 120 11798 11468 210 详情 台湾 13 86 1173 1075 12 详情 ...

  • 新冠肺炎实时疫情追踪分析2021.5.6

    海外病例 默认按累计确诊排序 地区 新增确诊 累计确诊 治愈 死亡 疫情 地区 新增确诊 累计确诊 治愈 死亡 疫情 美国 46129 33321244 26035314 593148 详情 印度 4 ...

  • 新冠肺炎实时疫情追踪分析2021.5.10

    海外病例 默认按累计确诊排序 地区 新增确诊 累计确诊 治愈 死亡 疫情 地区 新增确诊 累计确诊 治愈 死亡 疫情 美国 22200 33476781 26439712 595812 详情 印度 3 ...

  • 微服务调用链日志追踪分析

    一.技术原理 1.1 背景 微服务架构是一个分布式架构,它按业务划分服务单元,一个分布式系统往往有很多个服务单元.由于服务单元数量众多,业务的复杂性,如果出现了错误和异常,很难去定位.主要体现在,一个 ...