為網路安全保駕護航
2000-至今
聲 明
本文由Tide安全團隊成員“vlong”首發於FreeBuf TideSec專欄:
https://www.freebuf.com/column/201674.html
文中所涉及的科技、思路和工具僅供以安全為目的的學習交流使用,任何人不得將其用於非法用途以及盈利等目的,否則後果自行承擔!
一、前言
接領導通知明天直接去某公司應急回應,去之後詢問情况得知,發現其中四臺CPU一直爆滿,遠程埠(22)直接映射到外網,密碼是多年來一直位於榜首的123456,這不明擺著被人日穿嗎!!!
二、事件分析
首先對公網IP地址進行全埠掃描,這裡使用ScanPort,nmap雖然好但是相比之下還是速度慢。掃描結果和客戶給的內網埠映射錶不符,詢問客戶後得知應該是路由器緣故導致從內網訪問部分公網埠不通。
使用VPS對公網IP地址進行全埠掃描,這次掃描的結果才符合,使用弱密碼進行登入服務器成功。已經確定了攻擊源,接下來對服務器進行分析。首先給大家介紹Xshell工具,這個工具可以同時對多臺服務器進行管理。
同時連接到四臺服務器上,使用top命令查看佔用CPU高的行程。通過對比發現sysmd行程异常。
蒐索sysmd檔案發現在/use/bin下麵,查看創建日期為二月份。通過pstree命令sysmd不依賴任何行程。
通過查看系統日誌檔,二月份日誌已删除。
查看歷史命令記錄,發現其中兩臺歷史命令記錄已删除,在其中一臺上發現對sysmd進行蒐索,並且編輯了開機啟動腳本/etc/rc.local。
查看網絡連結情况,sysmd分別連接到不同的國外ip地址上。
對其中的一個ip地址進行査詢為發現太坊礦池。
檢查系統用戶檔案、密碼檔案、用戶家目錄,kernelsys用戶ID為0並不是客戶自己創建的。查看kernelsys用戶登錄日誌未發現登入,查看擁有sudo許可權的用戶未發現异常。
檢查開機啟動腳本、計畫任務、開機自啟動服務等,在rc.lcal檔案中存在sysmd。
通過排查問題大致情况已確認,下載sysmd檔案後續進行分析,修改開機啟動腳本删除sysmd開機自啟動,修改使用者密碼為複雜密碼,禁用kernelsys用戶,删除sysmd檔案的執行許可權,重啓觀察服務器運行情况。整理報告!
三、總結
本想找找入侵者IP反社工一下,未能如願以償,期待下次。
E
N
D
gūan
關
zhù
注
wǒ
我
men
們
Tide安全團隊正式成立於2019年1月,是新潮資訊旗下以互聯網攻防技術研究為目標的安全團隊,現時聚集了十多比特專業的安全攻防技術研究人員,專注於網絡攻防、Web安全、移動終端、安全開發、IoT/物聯網/工控安全等方向。
想瞭解更多Tide安全團隊,請關注團隊官網:http://www.TideSec.net或長按二維碼關注公眾號:
新潮資訊
專業|專注|卓越|安全