一次SSH爆破攻击haiduc工具的应急响应
一、概述
2022年3月底,在网络安全监测中发现某网络攻击组织利用SSH爆破投放挖矿程序的活动比较活跃,主要涉及的是一个haiduc的工具。
二、检测定位阶段工作说明
2.1、异常现象确认
服务器被植入木马病毒,并对内网进行暴力破解。本次发起暴力破解的主机为10.101.2.210。
2.2、溯源分析过程
通过态势感知查看暴力破解检测日志,发现最早从2月16日凌晨3点半左右出现暴力破解告警情况,攻击源为10.101.2.210服务器。
三、抑制阶段工作说明
临时配置防火墙禁止101.2.210访问其他区域服务器22端口;
修改服务器10.101.2.210弱密码为强口令;
【查看相关资料】
1、网络安全学习路线
2、电子书籍(白帽子)
3、安全大厂内部视频
4、100份src文档
5、常见安全面试题
6、ctf大赛经典题目解析
7、全套工具包
8、应急响应笔记
四、根除阶段工作说明
1.进程分析:ps -ef 查看运行进程,发现大量sshd命令
2.通过异常进程PID查看恶意程序,发现指向usr/share/man/.md/haiduc这个文件
3.进入到指定文件夹目录下
4.拷贝下来进行病毒分析
上传微步沙箱分析
5.进行目录文件解剖(存在爆破IP和账号密码信息)
6.登录安全:ssh免密登录排查
未发现配置有可疑的ssh免密登录keys
7.服务器最近登录日志分析
其中:10.100.2.40、10.100.2.80、10.17.250.179为工程师IP。
最早登录时间:2月16日 03:34 ,登录IP: 10.100.2.211
8.查看最近爆破登录日志
该机器发现有被ip10.101.31.4进行ssh爆破的记录,最早时间3月12日,未发现其他爆破情况;
9.账号异常排查
分析:未发现异常可疑账号
10.查看历史操作日志
分析:发现恶意脚本haiduc被执行的记录和远程下载恶意文件的记录
11.自启动项分析
未发现异常
12.计划任务
未发现异常
13.根除
(1)修改弱口令为强复杂度扣口令
(2)Kill -9 haiduc 强行杀毒恶意进程后,进程断开
杀死进程前
杀死进程后
(3)删除对应的文件目录和文件
截止目前,服务器恶意进程停止和态势感知恶意告警消失。
分析小结
通过分析判断,极有可能主机10.101.2.210于2月16日凌晨3点前后被植入病毒文件,并通过SSH爆破的方式进行内网传播。经过对病毒的传播方式进行分析,很可能为ip 10.101.2.211登录该主机远程下载恶意文件haiduc导致。对进程和病毒文件进行清理之后,病毒未复发。
一次SSH爆破攻击haiduc工具的应急响应相关推荐
- [ 应急响应 ]服务器(电脑)受到攻击该如何处理?(一)
[ 应急响应 ]服务器(电脑)受到攻击该如何处理?(一) [ 应急响应 ]服务器(电脑)受到攻击该如何处理?(二) [ 应急响应 ]服务器(电脑)受到攻击该如何处理?(三) 目录 一.应急响应是 安全 ...
- python ssh 爆破_ssh爆破(python脚本)
最近在乌云看到一份端口详解:为了锻炼自己,按照端口详解写脚本 #!/usr/local/bin/ python # -*- coding: UTF-8 -*- __author__ = 'yangxi ...
- 开源Scout攻击检测工具
1 概述 Scout是一个攻击检测工具,它在受到如CC.压测工具.syn flood.udp flood等拒绝服务攻击时,能进实时检测和告警.同时支持配置防火墙的封锁,也可以通过调用脚本做一些其它的处 ...
- CentOS 7安装fail2ban+Firewalld防止SSH爆破
一.前言 fail2ban可以监视你的系统日志,然后匹配日志的错误信息执行相应的屏蔽动作.网上大部分教程都是关于fail2ban+iptables组合,考虑到CentOS 7已经自带Firewalld ...
- SSH-Auditor:一款SSH弱密码探测工具
SSH-Auditor:一款SSH弱密码探测工具 freebuf 2018-09-16 ssh-auditor是一款可帮助你探测所在网络中ssh弱密码的工具. 特性 以下操作ssh-auditor都 ...
- Python SSH爆破以及Python3线程池控制线程数
源自一个朋友的要求,他的要求是只爆破一个ip,结果出来后就停止,如果是爆破多个,完全没必要停止,等他跑完就好 #!usr/bin/env python #!coding=utf-8__author__ ...
- SQL Injection(SQL注入)介绍及SQL Injection攻击检测工具
1.关于SQL Injection 迄今为止,我基本没有看到谁写出一篇很完整的文章,或者说很成熟的解决方案(能做到 的人肯定很多,问题是没有流传开来,很遗憾) 我简单的说几点,希望启发大家思考,起到抛 ...
- mac 连接linux sh,ssh工具 – windows和mac 上ssh连接linux 服务器工具推荐 – The Hu Post...
Views: 1,051 内容概要: ssh工具 xshell finalshell关于生产力的更多内容, 可以看看我的专栏 一些效率工具可以可以看看我整理的常用工具推荐. ssh工具 在工作中经常回 ...
- dos攻击的工具——pentmenu
文章目录[隐藏] 环境需求: 如何使用: 模块介绍: pentmenu A bash select menu for quick and easy network recon and DOS atta ...
最新文章
- NDK建立多个共享库
- JUnit5 快速指南
- AI:IPPR的数学表示-CNN基本结构分析( Conv层、Pooling层、FCN层/softmax层)
- 学妹靠这个学会硬件开发入职华为,今天搞到100个免费名额!
- 初识 scrapy 框架 - 安装
- C语言结构体字节对齐
- __ATTRIBUTE__ 你知多少?
- 推荐2本书 《浪潮之巅》 和 《数学之美》
- 毫米波雷达在人体传感器中的应用
- 使用SnakeYAML读取yaml配置文件
- win10删除账户文件夹(C:\Users\***)后,无法登录账户的解决方法
- Leetcode 1348:推文计数
- Quartus II使用说明(Verilog HDL二选一数据选择器 )
- P3975 [TJOI2015]弦论 第K小子串
- 微博营销和软文营销的价值
- 国产鸿蒙系统手机,国产厂商集体行动!力挺华为鸿蒙系统:唯独小米/中兴坚持安卓系统...
- 网络直播的发展和视频直播APP系统软件的简单介绍
- htb-shocker
- java容器有哪些_什么是Java容器?Java常见容器有哪些?
- sql镶嵌查询_标准SQL嵌套查询语句
热门文章
- mysql服务器证书验证提供信任库_连接到MySQL数据库时有关SSL连接的警告
- Personal preference
- 成功解决ModuleNotFoundError: No module named 'torch.utils.tensorboard'
- 成功解决AttributeError: 'NoneType' object has no attribute '__array_interface__'
- 成功解决SettingWithCopyWarning: A value is trying to be set on a copy of a slice from a DataFrame See
- Spring使用笔记(一)Spring简介
- Tornado源码分析 --- 静态文件处理模块
- 2.13生成可控的随机数据集合 模拟色子
- 正向代理服务器和反向代理服务器的区别
- python学习日常-编码与字符串格式化