一次SSH爆破攻击haiduc工具的应急相应

手机软件开发 · 2024-9-23 06:38:31

一、概述

2022年3月尾，在网络安全监测中发现某网络攻击组织使用SSH爆破投放挖矿步调的活动比力生动，重要涉及的是一个haiduc的工具。
二、检测定位阶段工作阐明

2.1、非常征象确认
服务器被植入木马病毒，并对内网举行暴力破解。本次发起暴力破解的主机为10.101.2.210。
2.2、溯源分析过程
通过态势感知检察暴力破解检测日志，发现最早从2月16日破晓3点半左右出现暴力破解告警环境，攻击源为10.101.2.210服务器。
三、克制阶段工作阐明

临时设置防火墙克制101.2.210访问其他地区服务器22端口；
修改服务器10.101.2.210弱暗码为强口令；

【检察干系资料】
1、网络安全学习蹊径
2、电子册本（白帽子）
3、安全大厂内部视频
4、100份src文档
5、常见安全口试题
6、ctf大赛经典标题分析
7、全套工具包
8、应急相应条记

四、根除阶段工作阐明

1.进程分析：ps -ef 检察运行进程，发现大量sshd下令
[图片上传失败...(image-71e302-1649243641235)]
2.通过非常进程PID检察恶意步调，发现指向usr/share/man/.md/haiduc这个文件
[图片上传失败...(image-8a232f-1649243641235)]
3.进入到指定文件夹目次下
[图片上传失败...(image-2b01a5-1649243641235)]
4.拷贝下来举行病毒分析
[图片上传失败...(image-b28bc2-1649243641235)]
上传微步沙箱分析
[图片上传失败...(image-11e625-1649243641235)]
5.举行目次文件解剖（存在爆破IP和账号暗码信息）
[图片上传失败...(image-19bac5-1649243641235)]
[图片上传失败...(image-1362d2-1649243641235)]
6.登录安全：ssh免密登录排查
[图片上传失败...(image-999307-1649243641235)]
未发现设置有可疑的ssh免密登录keys
7.服务器最近登录日志分析
[图片上传失败...(image-ac2e00-1649243641235)]
此中：10.100.2.40、10.100.2.80、10.17.250.179为工程师IP。
最早登录时间：2月16日 03:34 ，登录IP： 10.100.2.211
8.检察最近爆破登录日志
[图片上传失败...(image-ac8e3f-1649243641235)]
[图片上传失败...(image-bac00b-1649243641235)]
该呆板发现有被ip10.101.31.4举行ssh爆破的记载，最早时间3月12日，未发现其他爆破环境；
9.账号非常排查
[图片上传失败...(image-89c07b-1649243641235)]
[图片上传失败...(image-4724ec-1649243641235)]
分析：未发现非常可疑账号
10.检察汗青操纵日志
[图片上传失败...(image-7e6c41-1649243641235)]
[图片上传失败...(image-8f7a01-1649243641235)]
分析：发现恶意脚本haiduc被实行的记载和远程下载恶意文件的记载
11.自启动项分析
[图片上传失败...(image-c65490-1649243641235)]
未发现非常
12.筹划使命
[图片上传失败...(image-52cf56-1649243641235)]
未发现非常
13.根除
（1）修改弱口令为强复杂度扣口令
（2）Kill -9 haiduc 强行杀毒恶意进程后，进程断开
杀死进程前
[图片上传失败...(image-5df9ad-1649243641235)]
杀死进程后
[图片上传失败...(image-e2eb81-1649243641235)]
（3）删除对应的文件目次和文件
[图片上传失败...(image-7146a1-1649243641235)]
[图片上传失败...(image-392e71-1649243641235)]
制止现在，服务器恶意进程制止和态势感知恶意告警消散。
分析小结

通太过析判断，极有大概主机10.101.2.210于2月16日破晓3点前后被植入病毒文件，并通过SSH爆破的方式举行内网流传。颠末对病毒的流传方式举行分析，很大概为ip 10.101.2.211登录该主机远程下载恶意文件haiduc导致。对进程和病毒文件举行清算之后，病毒未复发。

一次SSH爆破攻击haiduc工具的应急相应

所属分类: 问答交流

新帖推荐: 30日

推荐作品