一、概述

2022年3月底，在網絡安全監測中發現某網絡攻擊組織利用SSH爆破投放挖礦程序的活動比較活躍，主要涉及的是一個haiduc的工具。

二、檢測定位階段工作說明

2.1、異常現象確認

服務器被植入木馬病毒，并對內網進行暴力破解。本次發起暴力破解的主機為10.101.2.210。

2.2、溯源分析過程

通過態勢感知查看暴力破解檢測日志，發現最早從2月16日凌晨3點半左右出現暴力破解告警情況，攻擊源為10.101.2.210服務器。

三、抑制階段工作說明

臨時配置防火墻禁止101.2.210訪問其他區域服務器22端口；

修改服務器10.101.2.210弱密碼為強口令；

【→所有資源關注我，私信回復“資料”獲取←】
1、網絡安全學習路線
2、電子書籍（白帽子）
3、安全大廠內部視頻
4、100份src文檔
5、常見安全面試題
6、ctf大賽經典題目解析
7、全套工具包
8、應急響應筆記

四、根除階段工作說明

1.進程分析：ps -ef 查看運行進程，發現大量sshd命令

2.通過異常進程PID查看惡意程序，發現指向usr/share/man/.md/haiduc這個文件

3.進入到指定文件夾目錄下

4.拷貝下來進行病毒分析

上傳微步沙箱分析

5.進行目錄文件解剖（存在爆破IP和賬號密碼信息）

6.登錄安全：ssh免密登錄排查

未發現配置有可疑的ssh免密登錄keys

7.服務器最近登錄日志分析

其中：10.100.2.40、10.100.2.80、10.17.250.179為工程師IP。

最早登錄時間：2月16日 03:34 ，登錄IP： 10.100.2.211

8.查看最近爆破登錄日志

該機器發現有被ip10.101.31.4進行ssh爆破的記錄，最早時間3月12日，未發現其他爆破情況；

9.賬號異常排查

分析：未發現異?？梢少~號

10.查看歷史操作日志

分析：發現惡意腳本haiduc被執行的記錄和遠程下載惡意文件的記錄

11.自啟動項分析

未發現異常

12.計劃任務

未發現異常

13.根除

（1）修改弱口令為強復雜度扣口令

（2）Kill -9 haiduc 強行殺毒惡意進程后，進程斷開

殺死進程前

殺死進程后

（3）刪除對應的文件目錄和文件

截止目前，服務器惡意進程停止和態勢感知惡意告警消失。

分析小結

通過分析判斷，極有可能主機10.101.2.210于2月16日凌晨3點前后被植入病毒文件，并通過SSH爆破的方式進行內網傳播。經過對病毒的傳播方式進行分析，很可能為ip 10.101.2.211登錄該主機遠程下載惡意文件haiduc導致。對進程和病毒文件進行清理之后，病毒未復發。