利用对攻击者的完整攻击调查取证,能够 证实攻击者利用SSH连接的方式运用guest_cm用户与root用户开展远程连接,连接后运用Wget方式下载并种植在目标网站服务器中的l和vkgdqyexc病毒文件,并使用uptx开展进一步的权限实际操作,随后运用.x扫描软件与目标非常强的密码字典开展内部网络扫描入侵,以目标网站服务器为跳板运用root和xx账户登录内部网络的其他机器追踪实际操作,有关攻击者的反向检测,在调查取证过程中发觉攻击者的网站服务器运用以下3个ip。
xxx.xxx.xxxx.xx.xx.xx.xx.xx.xx.xx.xx.xx.xx.xx.xx.ttp://123.218.188.3:1256/站点由hfs网站服务器构建,文件服务器内存储各种病毒文件,利用其他手段查询,我们可以知道运用ip地址绑定www.xxx.com网站,并发觉疑似攻击者的真实姓名xxx和xxx。该团体运用xxxxx@qq.com、wangzxxxx.yes@gmail.com等电子邮箱,运用51654xx、3676x等微信。利用某种手段深入了解攻击者的同事经营多个博彩、私服类网站。其他信息请参阅下图:确定攻击源,确定攻击入口,综合分析内部网络多个网站服务器的日志,发觉本次安全事件的主要原因如下:
xx.xx设备的网络配置存在安全问题,没有正确的网络隔离,ssh管理端口长期暴露在公共网络上,利用分析ssh登录日志,该设备长期受到ssh密码的暴力破解攻击,发觉有成功暴力破解的日志,攻击者利用ssh弱密码获得设备的控制权限,具体的攻击流程如下图所2021年1月12日公共网络ip以211.137.38.124机器以ssh爆破方式成功登录12.0.xx.xx机器,随后攻击者以12.0.16.24机器为跳板运用一样的账户登录192.168.xxx机器攻击者进到192.168.150.160机器后,于2021年1月17日运用wget的方式从http://123.218.18.3:1256网站下载了LinuxDDos木马文件,并运用扫描仪扫描内部网络。
攻击者用同样的手段在2021年1月17日用sftp传输木马的扩散行为。详情请参阅下图linux安全性建议更改密码字典中的网站服务器。彻底整顿网络环境,关闭不必要的对外端口。网络环境已经渗透到网络中,需要立即调查网络机械的安全风险,立即处理。
SSH登录限制,修改sshd配置文件由于网站服务器多,病毒能够 利用ssh相互传播,修改sshd_config,只准许特定的机器连接,方法如下:登录目标主机,编辑/etc/ssh/sshd_config#vi/etc/ssh/sshd_confi。在文件的最后追加准许访问22端口的主机IP(IP可以用*号通配,但不推荐)