Part0,概述

通过对进程、登录日志和历史命令分析,确认溯源一起入侵事件,对入侵者的恶意进程成功查杀,发现入侵者的ftp服务器,上面好多提权工具,朋友们拿去分(wan)析(shua)吧!

Part1,事件应急

10月21日,国家某局的网络出现拥塞现象,10月23日上午10点到客户现场排查问题,通过流量检测设备发现某刚装完系统的主机数据量异常,该主机仅仅装了suselinux,并未部署应用,看来极有可能被黑之后当肉鸡用了。

管理员告知鉴别信息为root/111111,直连服务器后用ssh远程登录了该服务器,查看登录信息。由于服务器未部署应用,就重装系统了但是如果真的部署有应用,需要能查杀恶意进程才可以所以就有了PART2。

(1)cat /var/log/messeges|grep root

10月21日凌晨12:35,黑客开始对root账号口令进行猜解并猜解成功,之后跟网络管理员确认,该主机对外开放了所有端口,orz。

linux-1

(2)查看账户登录记录 last

黑客于10月21日凌晨4:52从远程登录服务器,并操作服务器长达约3个小时,那么黑客到底做了什么?

linux2

(3)history | grep ‘2015-10-21’

黑客从远程下载执行木马125,在安全脉搏的群里想分享该文件被qq检测出来是病毒;执行node程序和x程序。

linux3

linux4

 

(4)netstat  -antup

①服务器中仅存在的x对应的进程18465/scanssh,扫描内网SSH弱口令(图4.1),无node对应的进程。

②在虚拟中运行该程序,会有对应进程node(图4.2),估计是该程序被关闭了,但未在history中找到。

③16950/netsn对外网地址36.251.136.189(泉州)发送SYN_SEND数据包(我觉得应该是扫描外网用的程序或者是后门),之后在mnt目录下找到该进程对应文件,确认为恶意文件。

linux5

图4.1

linux6

图4.2

(5) ls –la /mnt

从服务器中找到黑客操作的两个文件node和x,以及进程netsn对应的netsn文件。

linux7

(6)cat /mnt/n/trueusers.txt

该文件内容为黑客已扫描到内网的弱口令账户。

linux8

(7)黑客的远程木马文件服务器,传送门,上面应该是各种提权工具和扫描工具。传送门,http://120.41.33.189:8886  一台 HFS

linux9

Part2:虚拟环境查杀恶意进程

(1)执行125并观察网络行为

unzip 125.zip

chmod +x 125

./125

在执行125文件之前开启tcpdump,发现本地和120.41.33.189交互了大量的数据包,由于tcpdump命令不是很熟,就开启Wireshark捕获数据包,设定主机地址为120.41.33.189。

执行后出现无法访问“/etc/init.d/.zl”:没有那个文件或目录(图1.1),哦,这样等下的木马进程应该就跟这个.zl有某种联系了。

再看wireshark,已经开始有数据交互中…(图1.2)

linux10

图1.1

linux11

图1.2

(2)杀死125生成的进程

查看系统中有关zl的进程,并杀死(图2.1),但是发现进程马上就又起来了,这样的话应该是有守护进程,

linux12

图2.1

以进程启动时间排序查看进程,从进程启动的时间上判断,进程12763和13665应该互为守护进程,使用kill命令同时杀死13665和16969(之前杀死12763后重新分配的进程号)两个进程,进程被彻底杀死(图2.3),且wireshark不能再捕获到交互数据包,kali系统不再和120.41.33.189交互(图2.4)。

linux13

图2.2

linux14

 

图2.3

linux15

图2.4

linux16

Part3:总结

初入安全圈,第一次写总结性的文档,期待鲜花也不惧拍砖,真心希望能和圈内的朋友沟通交流,共同进步。[email protected]

 

安全脉搏编辑点评:

从行文记录来看 是篇比较细致的前期应急文章 有在虚拟环境进行恶意行为复测  缺少一个事件总结和事后处理

现在来看 外部黑客团队都有自动化工具爆破ssh弱口令自动种马扫内网操作扩大战果,ssh最好使用key登录。本文中的骇客团队对日志清理太疏忽。

感谢作者“好天气”原创投稿,也欢迎加入务实的安全圈。后续安全脉搏将会带来更多的Linux系统被入侵后的应急响应流程文章,敬请关注。

 

源链接

Hacking more

...