記一次linux服務器入侵應急響應

近日接到客戶求助，他們收到託管電信機房的信息，通知檢測到他們的一臺服務器有對外發送攻擊流量的行爲。但願咱們能協助排查問題。

 

1、確認安全事件

狀況緊急，首先要確認安全事件的真實性。通過和服務器運維人員溝通，瞭解到業務只在內網應用，但服務器居然放開到公網了，能在公網直接ping通，且開放了22遠程端口。從這點基本能夠確認服務器已經被入侵了。

 

2、日誌分析

猜測黑客多是經過SSH暴破登陸服務器。查看/var/log下的日誌，發現大部分日誌信息已經被清除，但secure日誌沒有被破壞，能夠看到大量SSH登陸失敗日誌，並存在root用戶屢次登陸失敗後成功登陸的記錄，符合暴力破解特徵

 

經過查看威脅情報，發現暴力破解的多個IP皆有惡意掃描行爲

 

3、系統分析

對系統關鍵配置、帳號、歷史記錄等進行排查，確認對系統的影響狀況

發現/root/.bash_history內歷史記錄已經被清除，其餘無異常。

4、進程分析

對當前活動進程、網絡鏈接、啓動項、計劃任務等進行排查

發現如下問題：

1) 異常網絡鏈接

經過查看系統網絡鏈接狀況，發現存在木馬後門程序te18網絡外聯。

 

在線查殺該文件爲Linux後門程序。

 

2) 異常定時任務

經過查看crontab 定時任務，發現存在異常定時任務。

 

分析該定時任務運行文件及啓動參數

 

在線查殺相關文件爲挖礦程序

 

查看礦池配置文件

 

5、文件分析

在/root目錄發現黑客植入的惡意代碼和相關操做文件。

 

黑客建立隱藏文件夾/root/.s/,用於存放挖礦相關程序。

 

6、後門排查

最後使用RKHunter掃描系統後門 

 

7、總結

經過以上的分析，能夠判斷出黑客經過SSH爆破的方式，爆破出root用戶密碼，並登錄系統進行挖礦程序和木馬後門的植入。

加固建議

1) 刪除crontab 定時任務（刪除文件/var/spool/cron/root內容），刪除服務器上黑客植入的惡意文件。

2) 修改全部系統用戶密碼，並知足密碼複雜度要求：8位以上，包含大小寫字母+數字+特殊符號組合；

3) 如非必要禁止SSH端口對外網開放，或者修改SSH默認端口並限制容許訪問IP；