一、SSH协议介绍

SSH(Secure Shell)是一套协议标准,可以用来实现两台机器之间的安全登录以及安全的数据传送,其保证数据安全的原理是非对称加密。SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议,主要用于给远程登录会话数据进行加密,保证数据传输的安全。
危害:
SSH口令长度太短或者复杂度不够,如仅包含数字,或仅包含字母等,容易被攻击者破解,一旦被攻击者获取,可用来直接登录系统,控制服务器所有权限。

一、事件背景

某天客户反馈:Linux服务器有异常连接,疑似被入侵。(真实案例自己搭建环境复现一下,靶场环境放在了 知识星球 和 我的资源 中
192.168.184.145是异常 IP

受害服务器:Linux系统、IP:192.168.184.142、无WEB服务

二、应急响应过程

2.1 查看异常连接文件的位置

第一步:
首先使用以下命令,查看服务器所有的连接

netstat -anpt

发现有两个异常连接,都是与192.168.184.145的5555端口通信的,根据经验猜测是反弹的shell

第二步:
通过PID查看异常连接的进程,以及该进程正在执行的命令行命令

ps aux |grep 15011

发现是 bash 进程

接下来查看PID 为 15011 的父进程

cat /proc/15011/status

发现父进程 PID 是15010

接下来查看 PID 为 15010 的 进程,以及该进程正在执行的命令行命令

ps aux |grep 15010

发现是通过 /bin/bash 执行的 root目录下的1.sh文件 (此处为找到的第一个可疑文件)

接下来查看PID 为 15010 的父进程

cat /proc/15010/status

发现父进程 PID 是15009

接下来查看 PID 为 15009 的 进程,以及该进程正在执行的命令行命令

ps aux |grep 15009

发现是通过 /bin/bash -c 指定将命令转为一个完整命令执行

接下来查看PID 为 15009 的父进程

cat /proc/15009/status

发现父进程 PID 是15007

接下来查看 PID 为 15007 的 进程,以及该进程正在执行的命令行命令

ps aux |grep 15007

发现是 /usr/sbin/CROND -n 跟网站的定时任务相关的

小结:
1、查看排查过程中发现的可疑文件 /root/1.sh ,发现其内容是反弹shell的命令,正式反弹到192.168.184.145的5555端口

第三步:
查看定时任务

crontab -l

显示root账户没有定时文件

跟前面查看的 PID 为 15007 的 进程执行命令存在冲突,PID 为 15007 明明执行的是 定时任务的命令 /usr/sbin/CROND -n
那么只能去查看 root账户是否存在定时任务文件

cd /var/spool/cron
cat root
vi root

发现是crontab隐藏后门,只能通过 vi 命令进行查看,隐藏的很完美啊!

第四步:
查看 root 账户的历史命令,没有发现与有用的信息,可能部分命令已经被删除

history


接下里查看1.sh的详细信息

ls -l

发现1.sh 与2.sh 文件的访问时间十分接近,存在可疑

接下来查看2.sh文件的内容

cat 2.sh

是创建隐藏后门的命令

总结:
可疑文件 /root/1.sh、/root/2.sh 均为创建crontab 隐藏后门的文件
且都是 4:00-5:00 之前执行的

2.2 攻击路径溯源

第一步:
查看 1.sh、2.sh创建与修改的账户,发现都是root账户,怀疑root账户是弱口令或者被暴力破解

第二步:
查看root账户的登录日志
root的登录日志文件在: /root/log/secure-XXXXX

随便查看一个secure-20210420 文件的内容

 cat secure-20210420


发现很多登录失败的记录,猜测 root账户被暴力破解了

统计日志中所有的 登陆失败的记录命令

grep -o "Failed password" /var/log/secure* |uniq -c

发现在secure-20200601中有76条登录失败记录,在secure-20210420中有1716条登录失败记录,结合1.sh与2.sh文件的日期,猜测是在20211020日被暴力破解的

输出登录爆破的第一行和最后一行,确认爆破时间范围:20210420 03:28:39-03:43:24

第一行命令: grep "Failed password" /var/log/secure-20210420|head -1
最后一行命令:grep "Failed password" /var/log/secure-20210420|tail -1


查询有哪些IP在爆破命令:

grep "Failed password" /var/log/secure-20210420|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c

发现192.168.184.1爆破数量在1000多次,192.168.184.146 在100多次

查询被爆破的用户名都有哪些?命令:

grep "Failed password" /var/log/secure-20210420|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr

发现被爆破的用户名是 root 账户

统计登录成功的IP有哪些?命令:

grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

发现 192.168.184.1 与 192.168.184.146 都成功登录该系统

查询管理员最近登录情况命令:

grep "Accepted " /var/log/secure-20210420 | awk '{print $1,$2,$3,$9,$11}'


总结:
1、爆破时间范围:20210420 03:28:39-03:43:24
2、爆破的账户:root
3、在爆破期间成功爆破出root账户的密码IP:192.168.184.1、192.168.184.146

可疑IP 192.168.184.1、192.168.184.146 成功爆破出系统192.168.184.142的 root账户的密码,并且留crontab隐藏后门 与 两个文件 /root/1.sh、/root/2.sh

更多资源:

1、web安全工具、渗透测试工具
2、存在漏洞的网站源码与代码审计+漏洞复现教程、
3、渗透测试学习视频、应急响应学习视频、代码审计学习视频、都是2019-2021年期间的较新视频
4、应急响应真实案例复现靶场与应急响应教程

收集整理在知识星球,可加入知识星球进行查看。也可搜索关注微信公众号:W小哥

一次真实的应急响应案例(Linux)——SSH暴力破解+crontab隐藏后门——事件复现(含靶场环境)相关推荐

  1. 一次真实的应急响应案例(Centos)——暴力破解、替换ps命令、留多个后门——事件复现(含靶场环境)

    一.事件背景 某天客户反馈:服务器疑似被入侵,与恶意IP进行通信(恶意IP用192.168.226.131代替).(真实案例自己搭建环境复现一下,靶场环境放在了 知识星球 和 我的资源 中) 受害服务 ...

  2. 一次真实的应急响应案例(Windows2008)——暴力破解、留隐藏账户后门与shift粘贴键后门、植入WaKuang程序——事件复现(含靶场环境)

    一.事件背景 某天客户反馈:服务器疑似被入侵,风扇噪声很大.(真实案例自己搭建环境复现一下,靶场环境放在了 知识星球 和 我的资源 中) 受害服务器: Windows2008 系统.IP: 192.1 ...

  3. Windows应急响应(三 FTP暴力破解)

    0x00 前言 ​ FTP是一个文件传输协议,用户通过FTP可从客户机程序向远程主机上传或下载文件,常用于网站代码维护.日常源码备份等.如果攻击者通过FTP匿名访问或者弱口令获取FTP权限,可直接上传 ...

  4. linux密码暴力破解之SHA-512破解

    linux密码暴力破解 由于MD5加密已经发展了很多年,现在市面上已经积累了大量的MD5数据,这样,MD5的安全性也就受到了威胁,所以,从centos6.x版本开始,系统密码开始采用SHA-512加密 ...

  5. Linux下暴力破解工具Hydra详解

    Linux下暴力破解工具Hydra详解 一.简介 Number one of the biggest security holes are passwords, as every password s ...

  6. Linux下暴力破解弱密码的工具

    文章目录 1. 概述 2. 实验环境 3. 破解系统密码 3.1 使用 John the Ripper 破解系统密码 3.2 使用 Medusa 破解系统密码 3.3 使用 Hydra 破解系统密码 ...

  7. linux防暴力破解登录密码

    原文地址:https://blog.csdn.net/qq_30553773/article/details/78705079 上两个星期发生了一件事情,让我感觉到安全是多么的重要,因为租了一天学生机 ...

  8. linux密码暴力破解之SHA-512破解(转载)

    原文来自:linux密码暴力破解之SHA-512破解 由于MD5加密已经发展了很多年,现在市面上已经积累了大量的MD5数据,这样,MD5的安全性也就受到了威胁,所以,从centos6.x版本开始,系统 ...

  9. 【应急响应】Linux应急响应的姿势

    0x01 Web服务 一般如果网络边界做好控制,通常对外开放的仅是Web服务,那么需要先找到Webshell,可以通过如下途径: 1)检查最近创建的php.jsp文件和上传目录 例如要查找24小时内被 ...

最新文章

  1. 电商平台战 运营是关键
  2. 四川大学研究生的一封公开信
  3. Android上使用OpenGLES2.0显示YUV数据
  4. html点击旋转180,关于点击三角丝滑旋转180度css3 jq处理方法
  5. u3d 模版测试 失败_基于Python的HTTP接口自动化测试框架实现
  6. 【Nodejs篇五】Node js 使用 superagent 与 cheerio 完成简单爬虫
  7. python遇到的问题-Python常见问题
  8. python 打开本地程序发生异常_Python中的异常处理
  9. Solr6 快速入门教程
  10. java毕业设计旅游官网mybatis+源码+调试部署+系统+数据库+lw
  11. 《恋爱通告》8月12上映 海报预告片齐亮相
  12. CVPR2020论文列表(中英对照)
  13. 深度学习( Deep Learning )软件资源列表
  14. DelphiXE Update1
  15. Android UI + Function
  16. python第三方库卸载方法
  17. 对中间层的一些浅略的思考
  18. matlab通信工具comm,matlab-通信工具箱教程.ppt
  19. ubuntu 下载verycd下资源
  20. python 中的while true是什么意思_While True还是While 1?

热门文章

  1. 3d browser
  2. 康托展开(基于全排列的某一种hash)
  3. Java基础|一图总结Java File类(与IO密切相关)
  4. “笨办法”学Python3,Zed A. Shaw,习题15
  5. 【推荐系统学习总结 NCF => NGCF => LightGCN】
  6. 【知乎讨论】如何评价《上海生活垃圾管理条例》中的垃圾分类标准?
  7. 数据资产价值评估常用方法及对比
  8. 银行业法律法规与综合能力-- 知识点总结
  9. 9月16日计算机视觉基础学习笔记——认识机器视觉
  10. mysql实现vpd_MySQL支持类似Oracle的VPD特性吗