【应急响应】————7、服务器大量发包
背景
一哥们反应自己的测试机器总是关机,联系云主机客服得知服务器总是大量发包,导致技术关停该机器。
排查过程
Last查看登录记录
查找到一个可疑IP
[root@i-9kp9tipm dpkgd]# grep "1.180.212.21" /var/log/secure*
/var/log/secure-20170409:Apr 4 22:20:43 i-9kp9tipm sshd[25921]: Accepted password for root from 1.180.212.21 port 5777 ssh2
/var/log/secure-20170409:Apr 4 23:21:16 i-9kp9tipm sshd[29214]: Accepted password for root from 1.180.212.21 port 50625 ssh2
/var/log/secure-20170409:Apr 5 00:13:12 i-9kp9tipm sshd[31509]: Accepted password for root from 1.180.212.21 port 12305 ssh2
/var/log/secure-20170409:Apr 5 00:24:56 i-9kp9tipm sshd[32029]: Accepted password for root from 1.180.212.21 port 12334 ssh2查看所有登录成功的记录
确认后得知119.254.100.106和124.207.112.10为正常IP,但是这哥们的Root密码也算是复杂。
既然Root被拿了,那么看一下常用命令呢
发现ps和netstat被替换
发现ss被替换
发现2进制程序pythno和.sshd,并且在bsd-port下也有两个可执行程序
在dpkgd目录下发现替换之前的命令
看一下.sshd文件的时间点。
用Strings查看一下
发现里面有很多IP地址。
查看下当前的连接:
发现了3个可以进程1742、1677、1683
看一下这些可执行程序在什么地方
发现这个ps看不到1742,然后我从自己主机上拷贝了一个ps过来,再执行下
这三个2进制程序
然后哥们反馈的是开机就会大量发包,来看下crontab,没有异常。查看rc.local没有异常。查看/etc/cron*没有异常。检查/etc/init.d的时候发现
/tmp下发现DDOS客户端文件
检查history没有发现操作记录。
检查mysql,发现密码简单123456,启动权限为mysql,plugin目录没有写入权限。
history中看到哥们之前有安装redis,且redis.conf中没有配置pass,检查/root/.ssh下没有发现异常,查看redis键未发现异常。
中间件是tomcat,发现/manager/html,没有账户。
项目为java项目,用到了struts2,检查struts2的版本
查看access log
没有发现异常
处理方式
1)加强SSH和Mysql密码,SSH限制IP访问,redis后期如果使用需配置认证。如无需对外提供服务,仅监听本地。
2)升级struts2到2.3.32版本
3)杀死进程
4)删除木马文件,拷贝正常命令
5)删除开机启动项
6)重启
【应急响应】————7、服务器大量发包相关推荐
- 复现应急响应文章之找到了自己服务器上的病毒
前言概述 处理linux应急响应主要分为4个环节: 识别现象->清除病毒->闭环兜底->系统加固 前言概述 本文是根据其他复现文章复现检查了一下自己的服务器,最终发现了自己的云服务器 ...
- [ 应急响应 ]服务器(电脑)受到攻击该如何处理?(一)
[ 应急响应 ]服务器(电脑)受到攻击该如何处理?(一) [ 应急响应 ]服务器(电脑)受到攻击该如何处理?(二) [ 应急响应 ]服务器(电脑)受到攻击该如何处理?(三) 目录 一.应急响应是 安全 ...
- Linux服务器被入侵后的排查思路(应急响应思路)
目录 Linux-暴力破解.替换ps命令并留存后门事件复现 一.事件背景 二.应急响应过程 排查crontab后门 排查是否有命令被替换 响应过程回顾 三.事件还原 查看后门 排查安全日志 Linux ...
- 记一次服务器入侵事件的应急响应
0x01 事件背景 8月某日,客户官网被黑,需在特定时间内完成整改.为避免客户业务受到影响,实验室相关人员第一时间展开本次攻击事件的应急处理. 0x02 事件分析 网站源码被篡改,攻击者一定获取到了权 ...
- window操作系统服务器应急响应流程
常见的应急响应事件分类: web 入侵:网页挂马.主页篡改.Webshell 系统入侵:病毒木马.勒索软件.远控后门 网络攻击:DDOS 攻击.DNS 劫持.ARP 欺骗 针对常见的攻击事件,结合工作 ...
- 服务器的安全基线、加固及应急响应总结
Windows安全基线及加固(例子为win server 2008): 1.身份鉴别 1)更改缺省账号:对于管理员帐号,要求更改缺省 Administrator 帐户名称 2)禁用guest账号 3) ...
- 应急响应之Windows/Linux(入侵排查篇)
0x01 应急响应介绍 当企业发生入侵事件.系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给 ...
- Linux安全事件应急响应排查方法总结
Linux安全事件应急响应排查方法总结 Linux是服务器操作系统中最常用的操作系统,因为其拥有高性能.高扩展性.高安全性,受到了越来越多的运维人员追捧.但是针对Linux服务器操作系统的安全事件也非 ...
- linux 应急响应 病毒清除 系统加固
概述 Linux环境下处理应急响应事件往往会更加的棘手,因为相比于Windows,Linux没有像Autorun.procexp这样的应急响应利器,也没有统一的应急响应处理流程.所以,这篇文章将会对L ...
- 一次SSH爆破攻击haiduc工具的应急响应
一.概述 2022年3月底,在网络安全监测中发现某网络攻击组织利用SSH爆破投放挖矿程序的活动比较活跃,主要涉及的是一个haiduc的工具. 二.检测定位阶段工作说明 2.1.异常现象确认 服务器被植 ...
最新文章
- linux进程及作业管理实验,Linux 进程及作业管理(示例代码)
- java 加法不用_【Java】 剑指offer(65) 不用加减乘除做加法
- python数据挖掘Hello World
- 深度之眼课程打卡-python入门05
- php选择符和举例子,关于CSS3中选择符的实例详解
- linux强制停止压缩任务,6.25任务(linux压缩、打包命令:zip、tar)
- windows上配置nginx php,Windows下配置Nginx使之支持PHP
- 错误:has been compiled by a more recent version of the Java Runtime (class file version 56.0)
- Java学习笔记分享之Dubbo篇
- 一款号称最适合程序员的编程字体(JetBrains Mono)专为开发人员设计。
- 算法课讨论 深究哈密顿图
- mysql 1236错误_mysql报1236错误代码该如何解决
- unity 3D期末大作业-简单坦克射击游戏
- 3D旋转相册炫酷js特效
- 帮你分清嵌入式与单片机
- java ocr 表格票据识别_OCR表格票据识别技术。
- 堆内存和栈内存的区别(通俗版)
- linux英伟达显卡驱动390下载,nvidia英伟达驱动|NVIDIA英伟达显卡驱动程序更新下载(32/64位) v384.90 Linux版 - 飞极下载站...
- python pandas 分割DataFrame中的字符串及元组
- 这才是21 世纪的 API 文档该有的样子