一、概述

2022年3月底，在網(wǎng)絡(luò)安全監(jiān)測中發(fā)現(xiàn)某網(wǎng)絡(luò)攻擊組織利用SSH爆破投放挖礦程序的活動比較活躍，主要涉及的是一個haiduc的工具。

二、檢測定位階段工作說明

2.1、異常現(xiàn)象確認(rèn)

服務(wù)器被植入木馬病毒，并對內(nèi)網(wǎng)進(jìn)行暴力破解。本次發(fā)起暴力破解的主機(jī)為10.101.2.210。

2.2、溯源分析過程

通過態(tài)勢感知查看暴力破解檢測日志，發(fā)現(xiàn)最早從2月16日凌晨3點(diǎn)半左右出現(xiàn)暴力破解告警情況，攻擊源為10.101.2.210服務(wù)器。

三、抑制階段工作說明

臨時配置防火墻禁止101.2.210訪問其他區(qū)域服務(wù)器22端口；

修改服務(wù)器10.101.2.210弱密碼為強(qiáng)口令；

【查看相關(guān)資料】
1、網(wǎng)絡(luò)安全學(xué)習(xí)路線
2、電子書籍（白帽子）
3、安全大廠內(nèi)部視頻
4、100份src文檔
5、常見安全面試題
6、ctf大賽經(jīng)典題目解析
7、全套工具包
8、應(yīng)急響應(yīng)筆記

四、根除階段工作說明

1.進(jìn)程分析：ps -ef 查看運(yùn)行進(jìn)程，發(fā)現(xiàn)大量sshd命令

2.通過異常進(jìn)程PID查看惡意程序，發(fā)現(xiàn)指向usr/share/man/.md/haiduc這個文件

3.進(jìn)入到指定文件夾目錄下

4.拷貝下來進(jìn)行病毒分析

上傳微步沙箱分析

5.進(jìn)行目錄文件解剖（存在爆破IP和賬號密碼信息）

6.登錄安全：ssh免密登錄排查

未發(fā)現(xiàn)配置有可疑的ssh免密登錄keys

7.服務(wù)器最近登錄日志分析

其中：10.100.2.40、10.100.2.80、10.17.250.179為工程師IP。

最早登錄時間：2月16日 03:34 ，登錄IP： 10.100.2.211

8.查看最近爆破登錄日志

該機(jī)器發(fā)現(xiàn)有被ip10.101.31.4進(jìn)行ssh爆破的記錄，最早時間3月12日，未發(fā)現(xiàn)其他爆破情況；

9.賬號異常排查

分析：未發(fā)現(xiàn)異常可疑賬號

10.查看歷史操作日志

分析：發(fā)現(xiàn)惡意腳本haiduc被執(zhí)行的記錄和遠(yuǎn)程下載惡意文件的記錄

11.自啟動項(xiàng)分析

未發(fā)現(xiàn)異常

12.計劃任務(wù)

未發(fā)現(xiàn)異常

13.根除

（1）修改弱口令為強(qiáng)復(fù)雜度扣口令

（2）Kill -9 haiduc 強(qiáng)行殺毒惡意進(jìn)程后，進(jìn)程斷開

殺死進(jìn)程前

殺死進(jìn)程后

（3）刪除對應(yīng)的文件目錄和文件

截止目前，服務(wù)器惡意進(jìn)程停止和態(tài)勢感知惡意告警消失。

分析小結(jié)

通過分析判斷，極有可能主機(jī)10.101.2.210于2月16日凌晨3點(diǎn)前后被植入病毒文件，并通過SSH爆破的方式進(jìn)行內(nèi)網(wǎng)傳播。經(jīng)過對病毒的傳播方式進(jìn)行分析，很可能為ip 10.101.2.211登錄該主機(jī)遠(yuǎn)程下載惡意文件haiduc導(dǎo)致。對進(jìn)程和病毒文件進(jìn)行清理之后，病毒未復(fù)發(fā)。

總結(jié)

以上是生活随笔為你收集整理的一次SSH爆破攻击haiduc工具的应急响应的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。