一、概述

2022年3月底,在网络安全监测中发现某网络攻击组织利用SSH爆破投放挖矿程序的活动比较活跃,主要涉及的是一个haiduc的工具。

二、检测定位阶段工作说明

2.1、异常现象确认

服务器被植入木马病毒,并对内网进行暴力破解。本次发起暴力破解的主机为10.101.2.210。

2.2、溯源分析过程

通过态势感知查看暴力破解检测日志,发现最早从2月16日凌晨3点半左右出现暴力破解告警情况,攻击源为10.101.2.210服务器。

三、抑制阶段工作说明

临时配置防火墙禁止101.2.210访问其他区域服务器22端口;

修改服务器10.101.2.210弱密码为强口令;

【查看相关资料】
1、网络安全学习路线
2、电子书籍(白帽子)
3、安全大厂内部视频
4、100份src文档
5、常见安全面试题
6、ctf大赛经典题目解析
7、全套工具包
8、应急响应笔记

四、根除阶段工作说明

1.进程分析:ps -ef 查看运行进程,发现大量sshd命令

2.通过异常进程PID查看恶意程序,发现指向usr/share/man/.md/haiduc这个文件

3.进入到指定文件夹目录下

4.拷贝下来进行病毒分析

上传微步沙箱分析

5.进行目录文件解剖(存在爆破IP和账号密码信息)

6.登录安全:ssh免密登录排查

未发现配置有可疑的ssh免密登录keys

7.服务器最近登录日志分析

其中:10.100.2.40、10.100.2.80、10.17.250.179为工程师IP。

最早登录时间:2月16日 03:34 ,登录IP: 10.100.2.211

8.查看最近爆破登录日志

该机器发现有被ip10.101.31.4进行ssh爆破的记录,最早时间3月12日,未发现其他爆破情况;

9.账号异常排查

分析:未发现异常可疑账号

10.查看历史操作日志

分析:发现恶意脚本haiduc被执行的记录和远程下载恶意文件的记录

11.自启动项分析

未发现异常

12.计划任务

未发现异常

13.根除

(1)修改弱口令为强复杂度扣口令

(2)Kill -9 haiduc 强行杀毒恶意进程后,进程断开

杀死进程前

杀死进程后

(3)删除对应的文件目录和文件

截止目前,服务器恶意进程停止和态势感知恶意告警消失。

分析小结

通过分析判断,极有可能主机10.101.2.210于2月16日凌晨3点前后被植入病毒文件,并通过SSH爆破的方式进行内网传播。经过对病毒的传播方式进行分析,很可能为ip 10.101.2.211登录该主机远程下载恶意文件haiduc导致。对进程和病毒文件进行清理之后,病毒未复发。

一次SSH爆破攻击haiduc工具的应急响应相关推荐

  1. [ 应急响应 ]服务器(电脑)受到攻击该如何处理?(一)

    [ 应急响应 ]服务器(电脑)受到攻击该如何处理?(一) [ 应急响应 ]服务器(电脑)受到攻击该如何处理?(二) [ 应急响应 ]服务器(电脑)受到攻击该如何处理?(三) 目录 一.应急响应是 安全 ...

  2. python ssh 爆破_ssh爆破(python脚本)

    最近在乌云看到一份端口详解:为了锻炼自己,按照端口详解写脚本 #!/usr/local/bin/ python # -*- coding: UTF-8 -*- __author__ = 'yangxi ...

  3. 开源Scout攻击检测工具

    1 概述 Scout是一个攻击检测工具,它在受到如CC.压测工具.syn flood.udp flood等拒绝服务攻击时,能进实时检测和告警.同时支持配置防火墙的封锁,也可以通过调用脚本做一些其它的处 ...

  4. CentOS 7安装fail2ban+Firewalld防止SSH爆破

    一.前言 fail2ban可以监视你的系统日志,然后匹配日志的错误信息执行相应的屏蔽动作.网上大部分教程都是关于fail2ban+iptables组合,考虑到CentOS 7已经自带Firewalld ...

  5. SSH-Auditor:一款SSH弱密码探测工具

    SSH-Auditor:一款SSH弱密码探测工具 freebuf 2018-09-16  ssh-auditor是一款可帮助你探测所在网络中ssh弱密码的工具. 特性 以下操作ssh-auditor都 ...

  6. Python SSH爆破以及Python3线程池控制线程数

    源自一个朋友的要求,他的要求是只爆破一个ip,结果出来后就停止,如果是爆破多个,完全没必要停止,等他跑完就好 #!usr/bin/env python #!coding=utf-8__author__ ...

  7. SQL Injection(SQL注入)介绍及SQL Injection攻击检测工具

    1.关于SQL Injection 迄今为止,我基本没有看到谁写出一篇很完整的文章,或者说很成熟的解决方案(能做到 的人肯定很多,问题是没有流传开来,很遗憾) 我简单的说几点,希望启发大家思考,起到抛 ...

  8. mac 连接linux sh,ssh工具 – windows和mac 上ssh连接linux 服务器工具推荐 – The Hu Post...

    Views: 1,051 内容概要: ssh工具 xshell finalshell关于生产力的更多内容, 可以看看我的专栏 一些效率工具可以可以看看我整理的常用工具推荐. ssh工具 在工作中经常回 ...

  9. dos攻击的工具——pentmenu

    文章目录[隐藏] 环境需求: 如何使用: 模块介绍: pentmenu A bash select menu for quick and easy network recon and DOS atta ...

最新文章

  1. NDK建立多个共享库
  2. JUnit5 快速指南
  3. AI:IPPR的数学表示-CNN基本结构分析( Conv层、Pooling层、FCN层/softmax层)
  4. 学妹靠这个学会硬件开发入职华为,今天搞到100个免费名额!
  5. 初识 scrapy 框架 - 安装
  6. C语言结构体字节对齐
  7. __ATTRIBUTE__ 你知多少?
  8. 推荐2本书 《浪潮之巅》 和 《数学之美》
  9. 毫米波雷达在人体传感器中的应用
  10. 使用SnakeYAML读取yaml配置文件
  11. win10删除账户文件夹(C:\Users\***)后,无法登录账户的解决方法
  12. Leetcode 1348:推文计数
  13. Quartus II使用说明(Verilog HDL二选一数据选择器 )
  14. P3975 [TJOI2015]弦论 第K小子串
  15. 微博营销和软文营销的价值
  16. 国产鸿蒙系统手机,国产厂商集体行动!力挺华为鸿蒙系统:唯独小米/中兴坚持安卓系统...
  17. 网络直播的发展和视频直播APP系统软件的简单介绍
  18. htb-shocker
  19. java容器有哪些_什么是Java容器?Java常见容器有哪些?
  20. sql镶嵌查询_标准SQL嵌套查询语句

热门文章

  1. mysql服务器证书验证提供信任库_连接到MySQL数据库时有关SSL连接的警告
  2. Personal preference
  3. 成功解决ModuleNotFoundError: No module named 'torch.utils.tensorboard'
  4. 成功解决AttributeError: 'NoneType' object has no attribute '__array_interface__'
  5. 成功解决SettingWithCopyWarning: A value is trying to be set on a copy of a slice from a DataFrame See
  6. Spring使用笔记(一)Spring简介
  7. Tornado源码分析 --- 静态文件处理模块
  8. 2.13生成可控的随机数据集合 模拟色子
  9. 正向代理服务器和反向代理服务器的区别
  10. python学习日常-编码与字符串格式化