通过对进程、登录日志和历史命令分析,确认溯源一起入侵事件,对入侵者的恶意进程成功查杀,发现入侵者的ftp服务器,上面好多提权工具,朋友们拿去分(wan)析(shua)吧!
10月21日,国家某局的网络出现拥塞现象,10月23日上午10点到客户现场排查问题,通过流量检测设备发现某刚装完系统的主机数据量异常,该主机仅仅装了suselinux,并未部署应用,看来极有可能被黑之后当肉鸡用了。
管理员告知鉴别信息为root/111111,直连服务器后用ssh远程登录了该服务器,查看登录信息。由于服务器未部署应用,就重装系统了,但是如果真的部署有应用,需要能查杀恶意进程才可以,所以就有了PART2。
(1)cat /var/log/messeges|grep root
10月21日凌晨12:35,黑客开始对root账号口令进行猜解并猜解成功,之后跟网络管理员确认,该主机对外开放了所有端口,orz。
(2)查看账户登录记录 last
黑客于10月21日凌晨4:52从远程登录服务器,并操作服务器长达约3个小时,那么黑客到底做了什么?
(3)history | grep ‘2015-10-21’
黑客从远程下载执行木马125,在安全脉搏的群里想分享该文件被qq检测出来是病毒;执行node程序和x程序。
(4)netstat -antup
①服务器中仅存在的x对应的进程18465/scanssh,扫描内网SSH弱口令(图4.1),无node对应的进程。
②在虚拟中运行该程序,会有对应进程node(图4.2),估计是该程序被关闭了,但未在history中找到。
③16950/netsn对外网地址36.251.136.189(泉州)发送SYN_SEND数据包(我觉得应该是扫描外网用的程序或者是后门),之后在mnt目录下找到该进程对应文件,确认为恶意文件。
图4.1
图4.2
(5) ls –la /mnt
从服务器中找到黑客操作的两个文件node和x,以及进程netsn对应的netsn文件。
(6)cat /mnt/n/trueusers.txt
该文件内容为黑客已扫描到内网的弱口令账户。
(7)黑客的远程木马文件服务器,传送门,上面应该是各种提权工具和扫描工具。传送门,http://120.41.33.189:8886 一台 HFS
(1)执行125并观察网络行为
unzip 125.zip
chmod +x 125
./125
在执行125文件之前开启tcpdump,发现本地和120.41.33.189交互了大量的数据包,由于tcpdump命令不是很熟,就开启Wireshark捕获数据包,设定主机地址为120.41.33.189。
执行后出现无法访问“/etc/init.d/.zl”:没有那个文件或目录(图1.1),哦,这样等下的木马进程应该就跟这个.zl有某种联系了。
再看wireshark,已经开始有数据交互中…(图1.2)
图1.1
图1.2
(2)杀死125生成的进程
查看系统中有关zl的进程,并杀死(图2.1),但是发现进程马上就又起来了,这样的话应该是有守护进程,
图2.1
以进程启动时间排序查看进程,从进程启动的时间上判断,进程12763和13665应该互为守护进程,使用kill命令同时杀死13665和16969(之前杀死12763后重新分配的进程号)两个进程,进程被彻底杀死(图2.3),且wireshark不能再捕获到交互数据包,kali系统不再和120.41.33.189交互(图2.4)。
图2.2
图2.3
图2.4
初入安全圈,第一次写总结性的文档,期待鲜花也不惧拍砖,真心希望能和圈内的朋友沟通交流,共同进步。changddcn@hotmail.com
从行文记录来看 是篇比较细致的前期应急文章 有在虚拟环境进行恶意行为复测 缺少一个事件总结和事后处理
现在来看 外部黑客团队都有自动化工具爆破ssh弱口令自动种马扫内网操作扩大战果,ssh最好使用key登录。本文中的骇客团队对日志清理太疏忽。
感谢作者“好天气”原创投稿,也欢迎加入务实的安全圈。后续安全脉搏将会带来更多的Linux系统被入侵后的应急响应流程文章,敬请关注。
本文作者:SP胖编
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/39503.html
必填 您当前尚未登录。 登录? 注册
必填(保密)尽显啊
由于tcpdump命令不是很熟,就开启Wireshark捕获数据包…
安全脉搏后续也会增上更多关于入侵检测方面的流程和文章
故障分析的很详细,能通过虚拟机故障还原,有很强的求知欲,像楼主学习!~
@yaqun 同像楼主学习钻研精神