一、概述

2022年3月底，在網(wǎng)絡(luò)安全監(jiān)測(cè)中發(fā)現(xiàn)某網(wǎng)絡(luò)攻擊組織利用SSH爆破投放挖礦程序的活動(dòng)比較活躍，主要涉及的是一個(gè)haiduc的工具。

二、檢測(cè)定位階段工作說明

2.1、異常現(xiàn)象確認(rèn)

服務(wù)器被植入木馬病毒，并對(duì)內(nèi)網(wǎng)進(jìn)行暴力破解。本次發(fā)起暴力破解的主機(jī)為10.101.2.210。

2.2、溯源分析過程

通過態(tài)勢(shì)感知查看暴力破解檢測(cè)日志，發(fā)現(xiàn)最早從2月16日凌晨3點(diǎn)半左右出現(xiàn)暴力破解告警情況，攻擊源為10.101.2.210服務(wù)器。

三、抑制階段工作說明

臨時(shí)配置防火墻禁止101.2.210訪問其他區(qū)域服務(wù)器22端口；

修改服務(wù)器10.101.2.210弱密碼為強(qiáng)口令；

【→所有資源關(guān)注我，私信回復(fù)“資料”獲取←】
1、網(wǎng)絡(luò)安全學(xué)習(xí)路線
2、電子書籍（白帽子）
3、安全大廠內(nèi)部視頻
4、100份src文檔
5、常見安全面試題
6、ctf大賽經(jīng)典題目解析
7、全套工具包
8、應(yīng)急響應(yīng)筆記

四、根除階段工作說明

1.進(jìn)程分析：ps -ef 查看運(yùn)行進(jìn)程，發(fā)現(xiàn)大量sshd命令

2.通過異常進(jìn)程PID查看惡意程序，發(fā)現(xiàn)指向usr/share/man/.md/haiduc這個(gè)文件

3.進(jìn)入到指定文件夾目錄下

4.拷貝下來進(jìn)行病毒分析

上傳微步沙箱分析

5.進(jìn)行目錄文件解剖（存在爆破IP和賬號(hào)密碼信息）

6.登錄安全：ssh免密登錄排查

未發(fā)現(xiàn)配置有可疑的ssh免密登錄keys

7.服務(wù)器最近登錄日志分析

其中：10.100.2.40、10.100.2.80、10.17.250.179為工程師IP。

最早登錄時(shí)間：2月16日 03:34 ，登錄IP： 10.100.2.211

8.查看最近爆破登錄日志

該機(jī)器發(fā)現(xiàn)有被ip10.101.31.4進(jìn)行ssh爆破的記錄，最早時(shí)間3月12日，未發(fā)現(xiàn)其他爆破情況；

9.賬號(hào)異常排查

分析：未發(fā)現(xiàn)異常可疑賬號(hào)

10.查看歷史操作日志

分析：發(fā)現(xiàn)惡意腳本haiduc被執(zhí)行的記錄和遠(yuǎn)程下載惡意文件的記錄

11.自啟動(dòng)項(xiàng)分析

未發(fā)現(xiàn)異常

12.計(jì)劃任務(wù)

未發(fā)現(xiàn)異常

13.根除

（1）修改弱口令為強(qiáng)復(fù)雜度扣口令

（2）Kill -9 haiduc 強(qiáng)行殺毒惡意進(jìn)程后，進(jìn)程斷開

殺死進(jìn)程前

殺死進(jìn)程后

（3）刪除對(duì)應(yīng)的文件目錄和文件

截止目前，服務(wù)器惡意進(jìn)程停止和態(tài)勢(shì)感知惡意告警消失。

分析小結(jié)

通過分析判斷，極有可能主機(jī)10.101.2.210于2月16日凌晨3點(diǎn)前后被植入病毒文件，并通過SSH爆破的方式進(jìn)行內(nèi)網(wǎng)傳播。經(jīng)過對(duì)病毒的傳播方式進(jìn)行分析，很可能為ip 10.101.2.211登錄該主機(jī)遠(yuǎn)程下載惡意文件haiduc導(dǎo)致。對(duì)進(jìn)程和病毒文件進(jìn)行清理之后，病毒未復(fù)發(fā)。