某服务器安全溯源审计报告

流量关联分析

通过查看服务器连接的程序发现有外网ip 23.33.178.8和91.121.2.76两个，查看到clock-applet一般为程序自带的文件，而91.121.2.76 IP显示的程序为./atd。

然后再通过抓取服务器数据包进行流量分析

抓取了将近一个小时的流量数据包为280条，发现并没有发起大规模攻击操作行为。

木马程序分析

之后再进行查看程序./atd。

发现确实存在该运行的程序文件，再找到程序的位置：

查看到有几个目录文件，排查之后发现第一个/var/tmp，从时间和文件大小来看是会存在问题

再对/var/tmp/atd进行导出程序，放入木马分析系统进行检验是否有木马行为

对atd文件进行木马扫描分析得出是比特币木马病毒文件

对trtgsasefd.conf文件进行木马分析未发现问题

对外网IP：23.33.178.8中的clock-applet文件进行木马分析未发现问题

日志记录分析

日志文件只有8月和9月份的

查看/var/log/messages中没有发现该ip入侵记录

发现通过22远程端口成功登录的外网ip：60.191.15.83 101.68.90.115（有可能是员工正常行为）

查看/var/log/secure中记录不全没有发现异常

查看/var/log/lastlog以及last记录没有发现异常登录记录

入侵来源分析

结合以上分析发现，攻击者在6月7号晚上23点就已经入侵成功，服务器被攻击有可能来自框架系统或插件漏洞引起，因此调用0day脚本测试，检验到漏洞存在，再使用专门的工具复现该st2-045漏洞

总结报告描述

网站对外可访问，因存在Struts-045插件漏洞，故而造成服务器被入侵当成挖矿肉鸡。建议可先暂停服务器环境，之后重装系统并对Struts插件进行升级修复操作以及对文件clock-applet进行删除。