溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
這篇文章將為大家詳細講解有關linux服務器入侵應急響應的示例分析,小編覺得挺實用的,因此分享給大家做個參考,希望大家閱讀完這篇文章后可以有所收獲。
一、確認安全事件
情況緊急,首先要確認安全事件的真實性。經過和服務器運維人員溝通,了解到業務只在內網應用,但服務器竟然放開到公網了,能在公網直接ping通,且開放了22遠程端口。從這點基本可以確認服務器已經被入侵了。
二、日志分析
猜想黑客可能是通過SSH暴破登錄服務器。查看/var/log下的日志,發現大部分日志信息已經被清除,但secure日志沒有被破壞,可以看到大量SSH登錄失敗日志,并存在root用戶多次登錄失敗后成功登錄的記錄,符合暴力破解特征
通過查看威脅情報,發現暴力破解的多個IP皆有惡意掃描行為
三、系統分析
對系統關鍵配置、賬號、歷史記錄等進行排查,確認對系統的影響情況
發現/root/.bash_history內歷史記錄已經被清除,其他無異常。
四、進程分析
對當前活動進程、網絡連接、啟動項、計劃任務等進行排查
發現以下問題:
1)異常網絡連接
通過查看系統網絡連接情況,發現存在木馬后門程序te18網絡外聯。
在線查殺該文件為Linux后門程序。
2)異常定時任務
通過查看crontab 定時任務,發現存在異常定時任務。
分析該定時任務運行文件及啟動參數
在線查殺相關文件為挖礦程序
查看礦池配置文件
五、文件分析
在/root目錄發現黑客植入的惡意代碼和相關操作文件。
黑客創建隱藏文件夾/root/.s/,用于存放挖礦相關程序。
六、后門排查
最后使用RKHunter掃描系統后門
七、總結
通過以上的分析,可以判斷出黑客通過SSH爆破的方式,爆破出root用戶密碼,并登陸系統進行挖礦程序和木馬后門的植入。
加固建議
1)刪除crontab 定時任務(刪除文件/var/spool/cron/root內容),刪除服務器上黑客植入的惡意文件。
2)修改所有系統用戶密碼,并滿足密碼復雜度要求:8位以上,包含大小寫字母+數字+特殊符號組合;
3)如非必要禁止SSH端口對外網開放,或者修改SSH默認端口并限制允許訪問IP;
關于“linux服務器入侵應急響應的示例分析”這篇文章就分享到這里了,希望以上內容可以對大家有一定的幫助,使各位可以學到更多知識,如果覺得文章不錯,請把它分享出去讓更多的人看到。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
