我们一客户机器被入侵,对外发Dos包,貌似没留下什么入侵痕迹,木马痕迹倒是留下不少,通过分析,木马并没有什么特别之处。木马是实时回写文件的,就是说木马创建时间永远是当前时间。服务器关过机内存里无残留有用信息。服务器里日志只有2019年的。往前的日志已经被清除。
并不打算一开始就看日志,收集了下开启的服务,没有http,没有除了22端口就没开其它服务。看了下硬盘有个sdb1分区未挂在,挂上目录后这个分区里有不少网站目录备份以及日志,浏览了下网站日志,挑出日志大小比较突出的做了下分析,未发现问题。网站亦无webshell。
系统日志里有几处显示了这台服务器被非法登陆过,时间是2019年某月某日,也许这台服务器存在弱口令。但不排除通过漏洞过去权限后过得用户密码。跟客户沟通了下,客户表示没有弱口令。
到这里,一起过来的另一家安全公司已经在分析木马和准备写报告了。交流了下,并没有发现是如何进来的。习惯性的翻系统文件,就像电视剧里包公一样,到处走走没准能找到破案的法子。没翻到有用的信息。对磁盘做数据恢复,恢复了不少ssh登陆日志,其中显示了去年某月某日有大量暴力破解有一条破解成功的。到此,可用信息已经调查差不多。由恢复的日志推断黑客是通过暴力破解出了系统密码。
后来看了下另一家应急报告,给出的结论是猜测利用ssh未知漏洞进入系统。 这次应急暴露出两个问题,第一个是客户应用是公网且开了ssh服务未做来源限制,第二个是看似复杂的密码却是有规律可循的。这两点导致被黑。事实上没有那么多因玄乎的漏洞系统被入侵的,大部分因为疏忽了安全管理。
以上内容全凭虚构,切勿对号入座。
网友评论