流量关联分析
通过查看服务器连接的程序发现有外网ip 23.33.178.8和91.121.2.76两个,查看到clock-applet一般为程序自带的文件,而91.121.2.76 IP显示的程序为./atd。
然后再通过抓取服务器数据包进行流量分析
抓取了将近一个小时的流量数据包为280条,发现并没有发起大规模攻击操作行为。
之后再进行查看程序./atd。
发现确实存在该运行的程序文件,再找到程序的位置:
查看到有几个目录文件,排查之后发现第一个/var/tmp,从时间和文件大小来看是会存在问题
再对/var/tmp/atd进行导出程序,放入木马分析系统进行检验是否有木马行为
对atd文件进行木马扫描分析得出是比特币木马病毒文件
对trtgsasefd.conf文件进行木马分析未发现问题
对外网IP:23.33.178.8中的clock-applet文件进行木马分析未发现问题
日志文件只有8月和9月份的
查看/var/log/messages中没有发现该ip入侵记录
发现通过22远程端口成功登录的外网ip:60.191.15.83 101.68.90.115(有可能是员工正常行为)
查看/var/log/secure中记录不全没有发现异常
查看/var/log/lastlog以及last记录没有发现异常登录记录
结合以上分析发现,攻击者在6月7号晚上23点就已经入侵成功,服务器被攻击有可能来自框架系统或插件漏洞引起,因此调用0day脚本测试,检验到漏洞存在,再使用专门的工具复现该st2-045漏洞
网站对外可访问,因存在Struts-045插件漏洞,故而造成服务器被入侵当成挖矿肉鸡。建议可先暂停服务器环境,之后重装系统并对Struts插件进行升级修复操作以及对文件clock-applet进行删除。