Linux应急响应day1：SSH暴力破解

前言

SSH是目前比较可靠的，专门为远程登录和会话其他网络服务提供安全性协议，主要用于给远程登录会话密码进行加密，保证数据传输安全，SSH口令长度太短或者复杂度不高，都会容易被破解，一旦攻击者获取，可用来直接登录系统，控制服务器所有权限。

1.应急场景

网站管理员登录服务器进行检查时，发现端口连接李存在两条可疑的连接记录。 1.TCP初始化连接三次握手：发SYN包，然后返回SYN/ACK包，连接正式建立，但是这里有点出入，当请求者收到SYN/ACK包后，就开始建立连接了，而被请求者第三次握手结束后才建立连接。 2.客户端TCP状态迁移

CLOSED->SYN_SENT->ESTABLISHED->FIN_WAIT_1->FIN_WAIT_2->TIME_WAIT->CLOSED

服务器TCP状态迁移

​CLOSED->LISTEN->SYN recv->ESTABLISHED->CLOSE_WAIT->LAST_ACK->CLOSED

3.当客户端开始连接时，服务器还处于LISTENING，客户端发一个SYN包后，服务器接收到了客户端的SYN并且发送了ACK时，服务器处于SYN_RECV状态。

在这里，SSH(22)端口，两条外网IP的SYN_RECV状态连接，这里就肯定有一次。

2.日志分析

SSH端异常，首先要先来了解一下系统账号的情

（1）系统账号情况 除了root之外，是否还有其他特权用户（uid为0）

[root@localhost ~]# awk -F: '$3==0{print $1}' /etc/passwd

[root@localhost ~]# awk '/\$1|\$6/{print $1}' /etc/shadow

root:$6$38cKfZDjsTiUe58V$FP.UHWMObqeUQS1Z2KRj/4EEcOPi.6d1Xm
KHgK3j3GY9EGvwwBei7nUbbqJC./qK12HN8jFuXOfEYIKLID6hq0::0:99999:7:::

使用下面命令：

wmic process get caption,commandline /value
如果想查询某一个进程的命令行参数，使用下列方式：
wmic process where caption="svshot.exe" get caption,commandline /value

Temp目录下发现Carbon、run.bat挖矿程序: 清除挖矿病毒：关闭异常进程、删除c盘temp目录下挖矿程序 。

临时防护方案

根据实际环境路径，删除WebLogic程序下列war包及目录

rm -f /home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war

rm -f /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war

rm -rf /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat

重启WebLogic或系统后，确认以下链接访问是否为404

http://x.x.x.x:7001/wls-wsat

防范措施

​ 新的挖矿攻击展现出了类似蠕虫的行为，并结合了高级攻击技术，以增加对目标服务器感染的成功率。通过利用永恒之蓝（EternalBlue）、web攻击多种漏洞，如Tomcat弱口令攻击、Weblogic WLS组件漏洞、Jboss反序列化漏洞，Struts2远程命令执行等，导致大量服务器被感染挖矿程序的现象 。总结了几种预防措施：

1.安装安全软件并升级病毒库，定期全盘扫描，保持实时防护

2.及时更新 Windows安全补丁，开启防火墙临时关闭端口