前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >Linux入侵后应急事件追踪分析

Linux入侵后应急事件追踪分析

作者头像
C4rpeDime
发布2022-04-26 21:33:01
1.3K0
发布2022-04-26 21:33:01
举报
文章被收录于专栏:黑白安全

0x01 情况概述监控软件监控到服务器存在异常的访问请求,故对此服务器进行安全检查。通过提供的材料发现内网机器对某公网网站存在异常的访问请求,网络环境存在着异常的网络数据的访问情况。针对其服务器进行综合分析发现了病毒文件两例,内网扫描器两例,通过以上的发现证实服务器已被黑客入侵。0x02 取证情况2.1 目标网络情况下文中的内网内ip以及公网ip为替换后的脱

0x01 情况概述

监控软件监控到服务器存在异常的访问请求,故对此服务器进行安全检查。通过提供的材料发现内网机器对某公网网站存在异常的访问请求,网络环境存在着异常的网络数据的访问情况。针对其服务器进行综合分析发现了病毒文件两例,内网扫描器两例,通过以上的发现证实服务器已被黑客入侵。

0x02 取证情况

2.1 目标网络情况

下文中的内网内ip以及公网ip为替换后的脱敏ip。

IP

所属

操作系统

1.168.xxx.xxx

某业务员服务器

Linux2.6.32 x86_64操作系统

192.168.0.0/24

DMZ区

Linux&windows

10.10.0.0/24

核心区

Linux&windows

防火墙

2.2 针对xxx服务器中间件的检测

监测存在异常的服务器开放了80端口和21端口,安装了tomcat中间件。首先进行tomcat中间件的排查,查询得知服务器对外开tomcat文件夹路径为/home/XXX/tomcat/XXX _tomcat ,查询tomcat未使用弱密码:

Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应  第1张
Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应 第1张

针对tomcat部署服务进行检查,未发现可疑部署组件:

Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应  第2张
Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应 第2张
Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应  第3张
Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应 第3张

2.3 针对xxx服务器进程及端口的检测

针对目标服务器进行了进程以及端口的检测,发现了可疑现象入下图所示:

Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应  第4张
Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应 第4张

发现可疑现象后查找“l”所在的路径,入下图所示:

Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应  第5张
Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应 第5张

在/dev/shm路径下发现存在“l”与“conf.n”文件

Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应  第6张
Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应 第6张

将“l”与“conf.n”下载到本地进行分析,“l”程序为inux远控木马Linux.DDOS.Flood.L,经本地分析“l”程序为linux下僵尸木马,同时具有远控的功能

Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应  第7张
Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应 第7张

通过继续分析目标服务器中的可以进程与端口占用情况,发现另外可疑文件,如下图所示:

Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应  第8张
Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应 第8张

将可疑文件进行本地分析,证实此文件为病毒文件:

Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应  第9张
Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应 第9张

2.4 发现攻击者的攻击操作

针对目标环境进行彻底排查,发现攻击者使用wget操作从 http://111.205.192.5:2356服务器中下载“l”病毒文件,并执行了“777”加权的操作。

其记录文件如下图所示:

Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应  第10张
Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应 第10张
Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应  第11张
Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应 第11张
Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应  第12张
Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应 第12张
Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应  第13张
Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应 第13张

通过进一步的对可疑。通过分析目标服务器日志文件,发现攻击者下载病毒文件后又使用内网扫描软件“.x”调用其“pascan”和“scanssh”模块进行内网ssh扫描,通过分析发现攻击者收集到了目标网络环境中的常用密码来进行针对性的扫描测试。

如下图所示:

Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应  第14张
Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应 第14张
Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应  第15张
Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应 第15张
Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应  第16张
Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应 第16张

通过继续对扫描软件进行深入挖掘,发现攻击者使用扫描软件得到的其他内网的ip地址(部分):尝试使用此地址中的192.168.21.231和192.168.21.218进行ssh登录,可使用root:huawei成功进行ssh连接(其他地址及口令不再进行测试),并在内网机器中发现使用弱口令“123456”并发现了同样的“l”病毒文件。

其记录文件如下图所示:

Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应  第17张
Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应 第17张
Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应  第18张
Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应 第18张
Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应  第19张
Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应 第19张

在扫描器中发现了攻击者使用的“passfile”字典文件,从中可以发现攻击者使用的字典具有很强的针对性(初步断定攻击者为在网络环境中通过查询密码文件等操作获取的相关密码):隐私信息--此处不贴图

通过继续对日志文件进行排查,发现攻击者使用扫描器进行攻击的历史记录,验证了搜集到的信息:

Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应  第20张
Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应 第20张

通过即系分析,发现攻击者在进入目标服务器后,又进行了防火墙权限修改、“udf”权限提升、远程连接等其他操作。其中“udf病毒文件”未在目标服务器中发现,在后期进行反追踪中在攻击者服务器中获取到“udf”文件,进行本地检测后病毒文件。

其记录文件如下图所示:

Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应  第21张
Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应 第21张
Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应  第22张
Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应 第22张
Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应  第23张
Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应 第23张
Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应  第24张
Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应 第24张

通过对攻击者完整的攻击取证,可证实攻击者通过SSH连接的方式使用guest_cm用户而和root用户进行远程连接,连接之后使用Wget方式下载并种植在目标服务器中“l”和“vkgdqddusx”病毒文件,并使用“udf”进行进一步的权限操作,然后使用“.x”扫描软件配合针对性极强的密码字典进行内网的扫描入侵,并以目标服务器为跳板使用root和xxx账户登录了内网中的其他机器在入侵过程中入侵者将部分相关日志进行了清除操作。

0x03 溯源操作

3.1 关于攻击者的反向检测

在取证过程中发现攻击者服务器使用以下三个ip

xxx.xxx.xxx.x、xxx.xxx.xxx.xxx、xxx.xx.xxx.xx(打个马赛克)

通过对这三个IP进行溯源找到

http://111.205.192.5:2356/ 网站使用hfs服务器搭建,文件服务器内存储着各种病毒文件,其中找到了在“l”“udf”等病毒文件,证实前文中的判断。

Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应  第25张
Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应 第25张

通过其他手段查询得知使用ip地址曾绑定 www.xxxx.com网站,并查找出疑似攻击者真实姓名xxx、xxx,其团体使用xxxxxx@qq.com、wangzxxxxxx.yes@gmail.com等邮箱,使用61441xx、3675xx等QQ。并通过某种手段深挖得知攻击者同事运营着多个博彩、私服类网站。

其他信息请看下图:

Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应  第26张
Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应 第26张
Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应  第27张
Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应 第27张

0x04 攻击源确定

4.1 确定攻击入口处

综合我们对内网多台服务器的日志分析,发现造成本次安全事件的主要原因是:

10.0.xx.xx设备的网络部署存在安全问题,未对其进行正确的网络隔离,导致其ssh管理端口长期暴露在公网上,通过分析ssh登陆日志,该台设备长期遭受ssh口令暴力破解攻击,并发现存在成功暴力破解的日志,攻击者正是通过ssh弱口令获取设备控制权限,并植入木马程序进一步感染内网服务器。

具体攻击流程如下图所示:

Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应  第28张
Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应 第28张
Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应  第29张
Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应 第29张
Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应  第30张
Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应 第30张

经分析,2016年1月12号公网ip为211.137.38.124的机器使用ssh爆破的方式成功登陆进入10.0.xx.xx机器,之后攻击者以10.0.16.24机器为跳板使用相同的账户登录进入192.168.xxx.xxx机器。

Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应  第31张
Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应 第31张

攻击者进入192.168.150.160机器后,于2016年1月17日使用wget的方式从http://111.205.192.5:23561网站中下载了 “Linux DDos”木马文件,并使用扫描器对内网进行扫描的操作。

Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应  第32张
Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应 第32张

攻击者通过相同的手段在2016年1月17日使用sftp传输的方式进行了木马的扩散行为,详细情况见下图:

Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应  第33张
Linux入侵后应急事件追踪分析 攻击溯源 事件追踪 安全文摘 应急响应 第33张

0x05 安全性建议

对使用密码字典中的服务器进行密码的更改。

对网络环境进行彻底的整改,关闭不必要的对外端口。

网络环境已经被进行过内网渗透,还需要及时排查内网机器的安全风险,及时处理。

SSH登录限制,修改sshd配置文件

由于服务器较多,防止病毒通过ssh互相传播,可通过修改sshd_config,实现只允许指定的机器连接,方法如下:

登录目标主机,编辑/etc/ssh/sshd_config

代码语言:javascript
复制
#!bash
# vi /etc/ssh/sshd_confi

在文件的最后追加允许访问22端口的主机IP,(IP可用*号

本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2020-11-05),如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 0x01 情况概述
  • 0x02 取证情况
    • 2.1 目标网络情况
      • 2.2 针对xxx服务器中间件的检测
        • 2.4 发现攻击者的攻击操作
        • 0x03 溯源操作
          • 3.1 关于攻击者的反向检测
          • 0x04 攻击源确定
            • 4.1 确定攻击入口处
            • 0x05 安全性建议
            相关产品与服务
            消息队列 TDMQ
            消息队列 TDMQ (Tencent Distributed Message Queue)是腾讯基于 Apache Pulsar 自研的一个云原生消息中间件系列,其中包含兼容Pulsar、RabbitMQ、RocketMQ 等协议的消息队列子产品,得益于其底层计算与存储分离的架构,TDMQ 具备良好的弹性伸缩以及故障恢复能力。
            领券
            问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档