主頁 > 知識庫 > 記一次linux服務器入侵應急響應(小結)

記一次linux服務器入侵應急響應(小結)

熱門標簽:百度地圖標注公司位置要多少錢 承德地圖標注公司 虛假地圖標注 400電話號碼辦理多少錢 地圖標注黃河的位置 靈圖uu電子寵物店地圖標注 山東企業(yè)外呼系統(tǒng)公司 濮陽好的聯通400電話申請 地圖標注如何改成微信號

近日接到客戶求助,他們收到托管電信機房的信息,通知檢測到他們的一臺服務器有對外發(fā)送攻擊流量的行為。希望我們能協助排查問題。

一、確認安全事件

情況緊急,首先要確認安全事件的真實性。經過和服務器運維人員溝通,了解到業(yè)務只在內網應用,但服務器竟然放開到公網了,能在公網直接ping通,且開放了22遠程端口。從這點基本可以確認服務器已經被入侵了。

二、日志分析

猜想黑客可能是通過SSH暴破登錄服務器。查看/var/log下的日志,發(fā)現大部分日志信息已經被清除,但secure日志沒有被破壞,可以看到大量SSH登錄失敗日志,并存在root用戶多次登錄失敗后成功登錄的記錄,符合暴力破解特征

通過查看威脅情報,發(fā)現暴力破解的多個IP皆有惡意掃描行為

三、系統(tǒng)分析

對系統(tǒng)關鍵配置、賬號、歷史記錄等進行排查,確認對系統(tǒng)的影響情況

發(fā)現/root/.bash_history內歷史記錄已經被清除,其他無異常。

四、進程分析

對當前活動進程、網絡連接、啟動項、計劃任務等進行排查

發(fā)現以下問題:

1)異常網絡連接

通過查看系統(tǒng)網絡連接情況,發(fā)現存在木馬后門程序te18網絡外聯。

在線查殺該文件為Linux后門程序。

2)異常定時任務

通過查看crontab 定時任務,發(fā)現存在異常定時任務。

分析該定時任務運行文件及啟動參數

在線查殺相關文件為挖礦程序

查看礦池配置文件

五、文件分析

在/root目錄發(fā)現黑客植入的惡意代碼和相關操作文件。

黑客創(chuàng)建隱藏文件夾/root/.s/,用于存放挖礦相關程序。

六、后門排查

最后使用RKHunter掃描系統(tǒng)后門

七、總結

通過以上的分析,可以判斷出黑客通過SSH爆破的方式,爆破出root用戶密碼,并登陸系統(tǒng)進行挖礦程序和木馬后門的植入。

加固建議

1)刪除crontab 定時任務(刪除文件/var/spool/cron/root內容),刪除服務器上黑客植入的惡意文件。

2)修改所有系統(tǒng)用戶密碼,并滿足密碼復雜度要求:8位以上,包含大小寫字母+數字+特殊符號組合;

3)如非必要禁止SSH端口對外網開放,或者修改SSH默認端口并限制允許訪問IP;

以上就是本文的全部內容,希望對大家的學習有所幫助,也希望大家多多支持腳本之家。

標簽:福州 德宏 樂山 鷹潭 淮安 泰安 上海 安康

巨人網絡通訊聲明:本文標題《記一次linux服務器入侵應急響應(小結)》,本文關鍵詞  記,一次,linux,服務器,入侵,;如發(fā)現本文內容存在版權問題,煩請?zhí)峁┫嚓P信息告之我們,我們將及時溝通與處理。本站內容系統(tǒng)采集于網絡,涉及言論、版權與本站無關。
  • 相關文章
  • 下面列出與本文章《記一次linux服務器入侵應急響應(小結)》相關的同類信息!
  • 本頁收集關于記一次linux服務器入侵應急響應(小結)的相關信息資訊供網民參考!
  • 推薦文章