> 本文由 [简悦 SimpRead](http://ksria.com/simpread/) 转码, 原文地址 [mp.weixin.qq.com](https://mp.weixin.qq.com/s/NW6Ti9R1ty\_0gfYehdQBLg)
监控软件监控到服务器存在异常的访问请求,故对此服务器进行安全检查。通过提供的材料发现内网机器对某公网网站存在异常的访问请求,网络环境存在着异常的网络数据的访问情况。针对其服务器进行综合分析发现了病毒文件两例,内网扫描器两例,通过以上的发现证实服务器已被黑客入侵。
下文中的内网内 ip 以及公网 ip 为替换后的脱敏 ip。
| IP | 所属 | 操作系统 |
|---|---|---|
| 1.168.xxx.xxx | 某业务员服务器 | Linux2.6.32 x86_64 操作系统 |
| 192.168.0.0/24 | DMZ 区 | Linux&windows |
| 10.10.0.0/24 | 核心区 | Linux&windows |
| 防火墙 |
监测存在异常的服务器开放了 80 端口和 21 端口,安装了 tomcat 中间件。首先进行 tomcat 中间件的排查,查询得知服务器对外开 tomcat 文件夹路径为/home/XXX/tomcat/XXX _tomcat ,查询 tomcat 未使用弱密码:
针对 tomcat 部署服务进行检查,未发现可疑部署组件:
2.3 针对 xxx 服务器进程及端口的检测
针对目标服务器进行了进程以及端口的检测,发现了可疑现象入下图所示:
发现可疑现象后查找 “l” 所在的路径,入下图所示:
在 / dev/shm 路径下发现存在 “l” 与“conf.n”文件
将 “l” 与“conf.n”下载到本地进行分析,“l”程序为 inux 远控木马 Linux.DDOS.Flood.L,经本地分析 “l” 程序为 linux 下僵尸木马,同时具有远控的功能
通过继续分析目标服务器中的可以进程与端口占用情况,发现另外可疑文件,如下图所示:
将可疑文件进行本地分析,证实此文件为病毒文件:
针对目标环境进行彻底排查,发现攻击者使用 wget 操作从 http://111.205.192.5:2356 服务器中下载 “l” 病毒文件,并执行了 “777” 加权的操作。
其记录文件如下图所示:
通过进一步的对可疑。通过分析目标服务器日志文件,发现攻击者下载病毒文件后又使用内网扫描软件 “.x” 调用其 “pascan” 和“scanssh”模块进行内网 ssh 扫描,通过分析发现攻击者收集到了目标网络环境中的常用密码来进行针对性的扫描测试。
如下图所示:
通过继续对扫描软件进行深入挖掘,发现攻击者使用扫描软件得到的其他内网的 ip 地址(部分):尝试使用此地址中的 192.168.21.231 和 192.168.21.218 进行 ssh 登录,可使用root:huawei成功进行 ssh 连接(其他地址及口令不再进行测试),并在内网机器中发现使用弱口令 “123456” 并发现了同样的 “l” 病毒文件。
其记录文件如下图所示:
在扫描器中发现了攻击者使用的 “passfile” 字典文件,从中可以发现攻击者使用的字典具有很强的针对性(初步断定攻击者为在网络环境中通过查询密码文件等操作获取的相关密码):隐私信息 -- 此处不贴图
通过继续对日志文件进行排查,发现攻击者使用扫描器进行攻击的历史记录,验证了搜集到的信息:
通过即系分析,发现攻击者在进入目标服务器后,又进行了防火墙权限修改、“udf”权限提升、远程连接等其他操作。其中 “udf 病毒文件” 未在目标服务器中发现,在后期进行反追踪中在攻击者服务器中获取到 “udf” 文件,进行本地检测后病毒文件。
其记录文件如下图所示:
通过对攻击者完整的攻击取证,可证实攻击者通过 SSH 连接的方式使用guest_cm用户而和root用户进行远程连接,连接之后使用 Wget 方式下载并种植在目标服务器中 “l” 和“vkgdqddusx”病毒文件,并使用 “udf” 进行进一步的权限操作,然后使用 “.x” 扫描软件配合针对性极强的密码字典进行内网的扫描入侵,并以目标服务器为跳板使用 root 和 xxx 账户登录了内网中的其他机器在入侵过程中入侵者将部分相关日志进行了清除操作。
在取证过程中发现攻击者服务器使用以下三个 ip
xxx.xxx.xxx.x、xxx.xxx.xxx.xxx、xxx.xx.xxx.xx(打个马赛克)
通过对这三个 IP 进行溯源找到
http://111.205.192.5:2356/ 网站使用 hfs 服务器搭建,文件服务器内存储着各种病毒文件,其中找到了在 “l”“udf” 等病毒文件,证实前文中的判断。
通过其他手段查询得知使用 ip 地址曾绑定 www.xxxx.com 网站,并查找出疑似攻击者真实姓名 xxx、xxx,其团体使用 [email protected]、[email protected] 等邮箱,使用 61441xx、3675xx 等 QQ。并通过某种手段深挖得知攻击者同事运营着多个博彩、私服类网站。
其他信息请看下图:
综合我们对内网多台服务器的日志分析,发现造成本次安全事件的主要原因是:
10.0.xx.xx 设备的网络部署存在安全问题,未对其进行正确的网络隔离,导致其 ssh 管理端口长期暴露在公网上,通过分析 ssh 登陆日志,该台设备长期遭受 ssh 口令暴力破解攻击,并发现存在成功暴力破解的日志,攻击者正是通过 ssh 弱口令获取设备控制权限,并植入木马程序进一步感染内网服务器。
具体攻击流程如下图所示:
经分析,2016 年 1 月 12 号公网 ip 为 211.137.38.124 的机器使用 ssh 爆破的方式成功登陆进入 10.0.xx.xx 机器,之后攻击者以 10.0.16.24 机器为跳板使用相同的账户登录进入 192.168.xxx.xxx 机器。
攻击者进入 192.168.150.160 机器后,于 2016 年 1 月 17 日使用 wget 的方式从 http://111.205.192.5:23561 网站中下载了 “Linux DDos” 木马文件,并使用扫描器对内网进行扫描的操作。
攻击者通过相同的手段在 2016 年 1 月 17 日使用 sftp 传输的方式进行了木马的扩散行为,详细情况见下图:
对使用密码字典中的服务器进行密码的更改。
对网络环境进行彻底的整改,关闭不必要的对外端口。
网络环境已经被进行过内网渗透,还需要及时排查内网机器的安全风险,及时处理。
SSH登录限制,修改sshd配置文件
由于服务器较多,防止病毒通过 ssh 互相传播,可通过修改sshd_config,实现只允许指定的机器连接,方法如下:
登录目标主机,编辑 / etc/ssh/sshd_config
#!bash
# vi /etc/ssh/sshd\_confi
在文件的最后追加允许访问 22 端口的主机 IP,(IP 可用 * 号通配,但不建议)
一如既往的学习,一如既往的整理,一如即往的分享。感谢支持
【好书推荐】
扫描关注 LemonSec