事件起因
從安全分析系統里面發現一條帶有病毒的下載,然后針對這條記錄展開了一系列的分析
分析過程
1.登錄到被感染服務器,查看系統狀況,hadoop 這個用戶在 2020/6/18 20:32 從這個IP 185.125.207.74 登陸過服務器,因為黑客登錄的時候使用了自己的環境變量,所以找不到歷史命令,lastb命令看登錄失敗的用戶,發現有很多記錄都是國外的IP。
2.查詢單登錄IP所在地,發現是德國的一個地址,正常情況下這臺機器不會有國外的IP登錄,所以有可能是黑客猜解了hadoop 這個用戶的密碼
3.查看hadoop 用戶正在運行的進程,沒有發現異常進程
4.進入hadoop 用戶的家目錄查看有沒有異常文件,發現在家目錄下有一個 .sw 的隱藏文件,里面殘留了黑客使用的程序和腳本,還有留下來的日志文件。
5.分析腳本和日志文件得出,黑客攻陷了這臺服務器后對局域網進行了掃描,掃描了內網中UP的主機,并對其進行SSH的密碼猜解,并有兩臺主機已經被橫向猜解出SSH的密碼。
6.登錄到被橫向感染的機器上,發現機器CPU資源消耗極高,存在一個Python的挖礦進程,在消耗大量的CPU資源,然后把結果發往美國的一個服務器。
7.下載服務器上殘留的程序,放到開源的威脅情報檢測中心檢測,均報高風險
反思
1.系統允許登錄的用戶不能設置弱密碼
2.重要的服務器需要和外網映射的服務器隔離
3.SSH服務需要增加防護措施(密碼猜解次數限制)
4.盡量不要直接映射端口到外網,如需外部訪問可通過VPN或者堡壘機這種安全的方式
5.修改SSH的默認端口,不要使用22
