0x01 情況概述監(jiān)控軟件監(jiān)控到服務(wù)器存在異常的訪問(wèn)請(qǐng)求,,故對(duì)此服務(wù)器進(jìn)行安全檢查。通過(guò)提供的材料發(fā)現(xiàn)內(nèi)網(wǎng)機(jī)器對(duì)某公網(wǎng)網(wǎng)站存在異常的訪問(wèn)請(qǐng)求,,網(wǎng)絡(luò)環(huán)境存在著異常的網(wǎng)絡(luò)數(shù)據(jù)的訪問(wèn)情況,。針對(duì)其服務(wù)器進(jìn)行綜合分析發(fā)現(xiàn)了病毒文件兩例,內(nèi)網(wǎng)掃描器兩例,,通過(guò)以上的發(fā)現(xiàn)證實(shí)服務(wù)器已被黑客入侵,。 0x02 取證情況2.1 目標(biāo)網(wǎng)絡(luò)情況下文中的內(nèi)網(wǎng)內(nèi)ip以及公網(wǎng)ip為替換后的脫敏ip。
2.2 針對(duì)xxx服務(wù)器中間件的檢測(cè)監(jiān)測(cè)存在異常的服務(wù)器開(kāi)放了80端口和21端口,,安裝了tomcat中間件,。首先進(jìn)行tomcat中間件的排查,查詢(xún)得知服務(wù)器對(duì)外開(kāi)tomcat文件夾路徑為 針對(duì)tomcat部署服務(wù)進(jìn)行檢查,,未發(fā)現(xiàn)可疑部署組件: 2.3 針對(duì)xxx服務(wù)器進(jìn)程及端口的檢測(cè) 針對(duì)目標(biāo)服務(wù)器進(jìn)行了進(jìn)程以及端口的檢測(cè),發(fā)現(xiàn)了可疑現(xiàn)象入下圖所示: 發(fā)現(xiàn)可疑現(xiàn)象后查找“l(fā)”所在的路徑,,入下圖所示: 在/dev/shm路徑下發(fā)現(xiàn)存在“l(fā)”與“conf.n”文件 將“l(fā)”與“conf.n”下載到本地進(jìn)行分析,,“l(fā)”程序?yàn)閕nux遠(yuǎn)控木馬Linux.DDOS.Flood.L,,經(jīng)本地分析“l(fā)”程序?yàn)閘inux下僵尸木馬,同時(shí)具有遠(yuǎn)控的功能 通過(guò)繼續(xù)分析目標(biāo)服務(wù)器中的可以進(jìn)程與端口占用情況,,發(fā)現(xiàn)另外可疑文件,,如下圖所示: 將可疑文件進(jìn)行本地分析,證實(shí)此文件為病毒文件: 2.4 發(fā)現(xiàn)攻擊者的攻擊操作針對(duì)目標(biāo)環(huán)境進(jìn)行徹底排查,,發(fā)現(xiàn)攻擊者使用wget操作從 http://111.205.192.5:2356服務(wù)器中下載“l(fā)”病毒文件,,并執(zhí)行了“777”加權(quán)的操作。 其記錄文件如下圖所示:
通過(guò)進(jìn)一步的對(duì)可疑,。通過(guò)分析目標(biāo)服務(wù)器日志文件,,發(fā)現(xiàn)攻擊者下載病毒文件后又使用內(nèi)網(wǎng)掃描軟件“.x”調(diào)用其“pascan”和“scanssh”模塊進(jìn)行內(nèi)網(wǎng)ssh掃描,通過(guò)分析發(fā)現(xiàn)攻擊者收集到了目標(biāo)網(wǎng)絡(luò)環(huán)境中的常用密碼來(lái)進(jìn)行針對(duì)性的掃描測(cè)試,。 如下圖所示:
通過(guò)繼續(xù)對(duì)掃描軟件進(jìn)行深入挖掘,,發(fā)現(xiàn)攻擊者使用掃描軟件得到的其他內(nèi)網(wǎng)的ip地址(部分):嘗試使用此地址中的192.168.21.231和192.168.21.218進(jìn)行ssh登錄,可使用 其記錄文件如下圖所示:
在掃描器中發(fā)現(xiàn)了攻擊者使用的“passfile”字典文件,從中可以發(fā)現(xiàn)攻擊者使用的字典具有很強(qiáng)的針對(duì)性(初步斷定攻擊者為在網(wǎng)絡(luò)環(huán)境中通過(guò)查詢(xún)密碼文件等操作獲取的相關(guān)密碼):隱私信息--此處不貼圖 通過(guò)繼續(xù)對(duì)日志文件進(jìn)行排查,,發(fā)現(xiàn)攻擊者使用掃描器進(jìn)行攻擊的歷史記錄,,驗(yàn)證了搜集到的信息:
通過(guò)即系分析,發(fā)現(xiàn)攻擊者在進(jìn)入目標(biāo)服務(wù)器后,,又進(jìn)行了防火墻權(quán)限修改,、“udf”權(quán)限提升、遠(yuǎn)程連接等其他操作,。其中“udf病毒文件”未在目標(biāo)服務(wù)器中發(fā)現(xiàn),,在后期進(jìn)行反追蹤中在攻擊者服務(wù)器中獲取到“udf”文件,進(jìn)行本地檢測(cè)后病毒文件,。 其記錄文件如下圖所示:
通過(guò)對(duì)攻擊者完整的攻擊取證,,可證實(shí)攻擊者通過(guò)SSH連接的方式使用 0x03 溯源操作3.1 關(guān)于攻擊者的反向檢測(cè)在取證過(guò)程中發(fā)現(xiàn)攻擊者服務(wù)器使用以下三個(gè)ip xxx.xxx.xxx.x、xxx.xxx.xxx.xxx,、xxx.xx.xxx.xx(打個(gè)馬賽克) 通過(guò)對(duì)這三個(gè)IP進(jìn)行溯源找到 http://111.205.192.5:2356/ 網(wǎng)站使用hfs服務(wù)器搭建,,文件服務(wù)器內(nèi)存儲(chǔ)著各種病毒文件,其中找到了在“l(fā)”“udf”等病毒文件,,證實(shí)前文中的判斷,。
通過(guò)其他手段查詢(xún)得知使用ip地址曾綁定 www.xxxx.com網(wǎng)站,,并查找出疑似攻擊者真實(shí)姓名xxx、xxx,,其團(tuán)體使用[email protected],、[email protected]等郵箱,使用61441xx,、3675xx等QQ,。并通過(guò)某種手段深挖得知攻擊者同事運(yùn)營(yíng)著多個(gè)博彩、私服類(lèi)網(wǎng)站,。 其他信息請(qǐng)看下圖:
0x04 攻擊源確定4.1 確定攻擊入口處綜合我們對(duì)內(nèi)網(wǎng)多臺(tái)服務(wù)器的日志分析,,發(fā)現(xiàn)造成本次安全事件的主要原因是: 10.0.xx.xx設(shè)備的網(wǎng)絡(luò)部署存在安全問(wèn)題,未對(duì)其進(jìn)行正確的網(wǎng)絡(luò)隔離,,導(dǎo)致其ssh管理端口長(zhǎng)期暴露在公網(wǎng)上,,通過(guò)分析ssh登陸日志,該臺(tái)設(shè)備長(zhǎng)期遭受ssh口令暴力破解攻擊,,并發(fā)現(xiàn)存在成功暴力破解的日志,,攻擊者正是通過(guò)ssh弱口令獲取設(shè)備控制權(quán)限,并植入木馬程序進(jìn)一步感染內(nèi)網(wǎng)服務(wù)器,。 具體攻擊流程如下圖所示:
經(jīng)分析,,2016年1月12號(hào)公網(wǎng)ip為211.137.38.124的機(jī)器使用ssh爆破的方式成功登陸進(jìn)入10.0.xx.xx機(jī)器,之后攻擊者以10.0.16.24機(jī)器為跳板使用相同的賬戶(hù)登錄進(jìn)入192.168.xxx.xxx機(jī)器,。
攻擊者進(jìn)入192.168.150.160機(jī)器后,,于2016年1月17日使用wget的方式從http://111.205.192.5:23561網(wǎng)站中下載了 “Linux DDos”木馬文件,并使用掃描器對(duì)內(nèi)網(wǎng)進(jìn)行掃描的操作,。
攻擊者通過(guò)相同的手段在2016年1月17日使用sftp傳輸?shù)姆绞竭M(jìn)行了木馬的擴(kuò)散行為,,詳細(xì)情況見(jiàn)下圖:
0x05 安全性建議對(duì)使用密碼字典中的服務(wù)器進(jìn)行密碼的更改。對(duì)網(wǎng)絡(luò)環(huán)境進(jìn)行徹底的整改,,關(guān)閉不必要的對(duì)外端口,。網(wǎng)絡(luò)環(huán)境已經(jīng)被進(jìn)行過(guò)內(nèi)網(wǎng)滲透,還需要及時(shí)排查內(nèi)網(wǎng)機(jī)器的安全風(fēng)險(xiǎn),,及時(shí)處理,。SSH登錄限制,修改sshd配置文件由于服務(wù)器較多,,防止病毒通過(guò)ssh互相傳播,,可通過(guò)修改 登錄目標(biāo)主機(jī),,編輯/etc/ssh/sshd_config
在文件的最后追加允許訪問(wèn)22端口的主機(jī)IP,(IP可用*號(hào)通配,,但不建議) 分割線 安全牛課堂-至尊技術(shù)會(huì)員 360門(mén)課程任你看 雙11限時(shí)福利價(jià):1111元/年 (平時(shí)價(jià):3999元/年) 掃描二維碼 領(lǐng)取技術(shù)會(huì)員課程表
|
|
|
來(lái)自: 新用戶(hù)36657816 > 《滲透》
