SSH密码安全测试心得体会

2021-11-23|

事件起因

从安全分析系统里面发现一条带有病毒的下载,然后针对这条记录展开了一系列的分析

分析过程

1.登录到被感染服务器,查看系统状况,hadoop 这个用户在 2020/6/18 20:32 从这个IP 185.125.207.74 登陆过服务器,因为黑客登录的时候使用了自己的环境变量,所以找不到历史命令,lastb命令看登录失败的用户,发现有很多记录都是国外的IP。

2.查询单登录IP所在地,发现是德国的一个地址,正常情况下这台机器不会有国外的IP登录,所以有可能是黑客猜解了hadoop 这个用户的密码

3.查看hadoop 用户正在运行的进程,没有发现异常进程

4.进入hadoop 用户的家目录查看有没有异常文件,发现在家目录下有一个 .sw 的隐藏文件,里面残留了黑客使用的程序和脚本,还有留下来的日志文件。

5.分析脚本和日志文件得出,黑客攻陷了这台服务器后对局域网进行了扫描,扫描了内网中UP的主机,并对其进行SSH的密码猜解,并有两台主机已经被横向猜解出SSH的密码。

6.登录到被横向感染的机器上,发现机器CPU资源消耗极高,存在一个python的挖矿进程,在消耗大量的CPU资源,然后把结果发往美国的一个服务器。

7.下载服务器上残留的程序,放到开源的威胁情报检测中心检测,均报高风险

反思

1.系统允许登录的用户不能设置弱密码

2.重要的服务器需要和外网映射的服务器隔离

3.SSH服务需要增加防护措施(密码猜解次数限制)

4.尽量不要直接映射端口到外网,如需外部访问可通过VPN或者堡垒机这种安全的方式

5.修改SSH的默认端口,不要使用22


标签: 登录 服务器 用户 密码 发现 黑客 文件 分析 hadoop 一个
出处: https://www.toutiao.com/a7033413312457081374/

推荐

文明发言,请先登录

文明上网理性发言,请遵守国家法律法规。

最新评论

©2003- 黑基网 黑名单存档手机版网站地图免责条款法律声明隐私保护