事件起因
從安全分析系統(tǒng)里面發(fā)現(xiàn)一條帶有病毒的下載,然后針對(duì)這條記錄展開了一系列的分析
分析過程
1.登錄到被感染服務(wù)器,查看系統(tǒng)狀況,hadoop 這個(gè)用戶在 2020/6/18 20:32 從這個(gè)IP 185.125.207.74 登陸過服務(wù)器,因?yàn)楹诳偷卿浀臅r(shí)候使用了自己的環(huán)境變量,所以找不到歷史命令,lastb命令看登錄失敗的用戶,發(fā)現(xiàn)有很多記錄都是國(guó)外的IP。
2.查詢單登錄IP所在地,發(fā)現(xiàn)是德國(guó)的一個(gè)地址,正常情況下這臺(tái)機(jī)器不會(huì)有國(guó)外的IP登錄,所以有可能是黑客猜解了hadoop 這個(gè)用戶的密碼
3.查看hadoop 用戶正在運(yùn)行的進(jìn)程,沒有發(fā)現(xiàn)異常進(jìn)程
4.進(jìn)入hadoop 用戶的家目錄查看有沒有異常文件,發(fā)現(xiàn)在家目錄下有一個(gè) .sw 的隱藏文件,里面殘留了黑客使用的程序和腳本,還有留下來的日志文件。
5.分析腳本和日志文件得出,黑客攻陷了這臺(tái)服務(wù)器后對(duì)局域網(wǎng)進(jìn)行了掃描,掃描了內(nèi)網(wǎng)中UP的主機(jī),并對(duì)其進(jìn)行SSH的密碼猜解,并有兩臺(tái)主機(jī)已經(jīng)被橫向猜解出SSH的密碼。
6.登錄到被橫向感染的機(jī)器上,發(fā)現(xiàn)機(jī)器CPU資源消耗極高,存在一個(gè)Python的挖礦進(jìn)程,在消耗大量的CPU資源,然后把結(jié)果發(fā)往美國(guó)的一個(gè)服務(wù)器。
7.下載服務(wù)器上殘留的程序,放到開源的威脅情報(bào)檢測(cè)中心檢測(cè),均報(bào)高風(fēng)險(xiǎn)
反思
1.系統(tǒng)允許登錄的用戶不能設(shè)置弱密碼
2.重要的服務(wù)器需要和外網(wǎng)映射的服務(wù)器隔離
3.SSH服務(wù)需要增加防護(hù)措施(密碼猜解次數(shù)限制)
4.盡量不要直接映射端口到外網(wǎng),如需外部訪問可通過VPN或者堡壘機(jī)這種安全的方式
5.修改SSH的默認(rèn)端口,不要使用22
