近日接到客户求助, 他们收到托管电信机房的信息, 通知检测到他们的一台服务器有对外发送攻击流量的行为. 希望我们能协助排查问题.
一, 确认安全事件
情况紧急, 首先要确认安全事件的真实性. 经过和服务器运维人员沟通, 了解到业务只在内网应用, 但服务器竟然放开到公网了, 能在公网直接 ping 通, 且开放了 22 远程端口. 从这点基本可以确认服务器已经被入侵了.
二, 日志分析
猜想黑客可能是通过 SSH 暴破登录服务器. 查看 / var/log 下的日志, 发现大部分日志信息已经被清除, 但 secure 日志没有被破坏, 可以看到大量 SSH 登录失败日志, 并存在 root 用户多次登录失败后成功登录的记录, 符合暴力破解特征.
通过查看威胁情报, 发现暴力破解的多个 IP 皆有恶意扫描行为.
三, 系统分析
对系统关键配置, 账号, 历史记录等进行排查, 确认对系统的影响情况.
发现 / root/.bash_history 内历史记录已经被清除, 其他无异常.
四, 进程分析
对当前活动进程, 网络连接, 启动项, 计划任务等进行排查.
发现以下问题:
1) 异常网络连接
通过查看系统网络连接情况, 发现存在木马后门程序 te18 网络外联.
在线查杀该文件为 Linux 后门程序.
2) 异常定时任务
通过查看 crontab 定时任务, 发现存在异常定时任务:
分析该定时任务运行文件及启动参数:
在线查杀相关文件为挖矿程序:
查看矿池配置文件:
五, 文件分析
在 / root 目录发现黑客植入的恶意代码和相关操作文件.
黑客创建隐藏文件夹 / root/.s/, 用于存放挖矿相关程序.
六, 后门排查
最后使用 RKHunter 扫描系统后门:
七, 总结
通过以上的分析, 可以判断出黑客通过 SSH 爆破的方式, 爆破出 root 用户密码, 并登陆系统进行挖矿程序和木马后门的植入.
加固建议
1) 删除 crontab 定时任务 (删除文件 / var/spool/cron/root 内容), 删除服务器上黑客植入的恶意文件.
2) 修改所有系统用户密码, 并满足密码复杂度要求: 8 位以上, 包含大小写字母 + 数字 + 特殊符号组合.
3) 如非必要禁止 SSH 端口对外网开放, 或者修改 SSH 默认端口并限制允许访问 IP.
来源: http://os.51cto.com/art/201908/600663.htm