| 关键词: 登录 服务器 用户 密码 发现 黑客 文件 分析 hadoop 一个 |
事件起因 从安全分析系统里面发现一条带有病毒的下载,然后针对这条记录展开了一系列的分析 分析过程 1.登录到被感染服务器,查看系统状况,hadoop 这个用户在 2020/6/18 20:32 从这个IP 185.125.207.74 登陆过服务器,因为黑客登录的时候使用了自己的环境变量,所以找不到历史命令,lastb命令看登录失败的用户,发现有很多记录都是国外的IP。 2.查询单登录IP所在地,发现是德国的一个地址,正常情况下这台机器不会有国外的IP登录,所以有可能是黑客猜解了hadoop 这个用户的密码 3.查看hadoop 用户正在运行的进程,没有发现异常进程 4.进入hadoop 用户的家目录查看有没有异常文件,发现在家目录下有一个 .sw 的隐藏文件,里面残留了黑客使用的程序和脚本,还有留下来的日志文件。 5.分析脚本和日志文件得出,黑客攻陷了这台服务器后对局域网进行了扫描,扫描了内网中UP的主机,并对其进行SSH的密码猜解,并有两台主机已经被横向猜解出SSH的密码。 6.登录到被横向感染的机器上,发现机器CPU资源消耗极高,存在一个python的挖矿进程,在消耗大量的CPU资源,然后把结果发往美国的一个服务器。 7.下载服务器上残留的程序,放到开源的威胁情报检测中心检测,均报高风险 反思 1.系统允许登录的用户不能设置弱密码 2.重要的服务器需要和外网映射的服务器隔离 3.SSH服务需要增加防护措施(密码猜解次数限制) 4.尽量不要直接映射端口到外网,如需外部访问可通过VPN或者堡垒机这种安全的方式 5.修改SSH的默认端口,不要使用22 |
| 本文出处: https://www.toutiao.com/a7033413312457081374/ |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|