歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

記一次服務器入侵溯源

來源:本站整理 作者:佚名 時間:2019-04-25 TAG: 我要投稿

我是Li,本科,電子信息工程專業,有javascript、php、python 語言基礎,目前學習Web 安全中。
在互聯網海洋中遨游的時候,我們往往會 “一不小心” 就點擊進入一些不可告人的網站,留下一些邀請黑客進入的漏洞。本文將介紹一種常規的入侵溯源,幫助大家安全上網。
溯源的目的更多的是 清理已經植入服務器的各種病毒,然后找到入侵的源頭,也就是黑客是通過什么漏洞入侵服務器的。
事情的開始是這樣的,在某一個晚上,一個夜黑風高的晚上,我準備把最近寫的用來爬取美麗小姐姐照片的爬蟲部署到服務器上,結果登錄到服務器上的時候,發現操作有點卡,很明顯感覺到服務器的異常,而昨天還沒有這樣的情況。
好在安全技能沒白學,第一時間意識到服務器被入侵了。
先看看服務器的進程情況,輸入Top命令,再按大寫的P,根據CPU利用率來看看進程:看到有一個進程的 CPU 占用率到達 99.7%。

再查看端口連接信息,終端輸入 netstat -anpt,看到有一個IP 為 158.69.133.20:3333 ,明顯不是我自己的異常 IP。

都能找到 ip 地址了,離成功還能有多遠?
我順手把 IP地址復制粘貼,利用 http://www.ipip.net/ip.html ,找到IP所在的地理位置,可以看到這是一個來自加拿大魁北克的 IP。

我再到威脅情報平臺查詢 IP 信息 (http://x.threatbook.cn/ip/158.69.133.20)
可以看到這是一個礦池情報。加上CPU利用率接近100%的情況,咱們可以確定服務器被入侵并被植入了挖礦程序。那么剛才那個異常進程,其實就是一個挖礦進程。

 現在要做的是找到入侵漏洞和清理病毒,首先要找到文件位置,kill進程。根據進程 pid 1758直接ls -lh /proc/1758查看該進程的具體信息:

可以看到進程的exe指向的文件在/var/tmp目錄下,然后我們先kill -9 1758殺死進程,避免進程占用CPU資源導致我們相關操作有點慢。

進入/var/tmp目錄可以看到相關的文件,Linux 系統可以直接 md5sum 文件來提取文件的 MD5 值。、

然后到到https://www.virustotal.com/ 進行查詢,可以看到這里有60款軟件,有20款都對它報毒,確定這是一個挖礦程序。如下圖所示:

從經驗來看,這種挖礦程序,一般都是通過bash腳本進行執行,然后下載進行啟動,可以通過查找日志和 history 看看是否有 wget、curl等下載行為。

上圖可以很明顯看到有 wget 行為。
由于下載地址還沒有失效,可以直接下載腳本分析行為:
  • 除了 /var/tmp 目錄下的文件,其他文件已自刪除
  • 腳本中還修改了 crontab任務
清理方式:直接刪除 /var/tmp 目錄下的惡意文件。同時,根據腳本分析和 syslog ,我們可以看到腳本是通過 crontab 任務中 root 賬戶下載執行的,那么我們直接查看 /var/spool/crontabs/root 文件。 

從上圖可以看到,系統的 crontabs 任務已被修改,并加入一些未知任務,我們把這些任務清理掉就可以了,可以看到任務的內容有 REDIS0006字樣,我們可以排查到,這是Redis存在未授權訪問的問題。修復方法:對應修復 Redis 的配置問題關閉外網訪問,增加密碼驗證。媽媽再也不用擔心我被黑了。
總結:這是一次比較順利的溯源過程。通過前一個步驟、或者歷史痕跡查到或猜測到黑客的相關操作,甚至可以獲得腳本進行行為分析,但是在實際的溯源過程中,黑客會刪除日志、清理相關痕跡、相關鏈接會失效,不過,解決這些又是一個新的話題了。
WEB安全學習其實沒想象的那么難,以上分享就是我從破殼學院的課程中學到的,大佬和菜雞只有一念之隔,懶惰永遠不是你無法進步的借口!
 

【聲明】:黑吧安全網(http://www.pcpbjo.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        云南快乐十分前三电视