Linux服务器被黑客攻击的日志溯源解决过程

监视服务器发觉有异常的访问请求,所以对此服务器进行安全检查。运用所提供的资料,发觉局域网机器对某公网站点有异常的访问请求,在网络环境下,存在对网络数据的异常访问。对服务器进行全面深入分析发觉有两个病毒文件,两个局域网扫描器,根据上述发觉证实服务器已被黑客入侵。以下列出的内部ip和公网ip是被替换的脱敏ip。检测xxx服务器中间件。


根据安装tomcat中间件,监控打开的80和21端口上有异常的服务器。先向tomcat中间件开展检测,查看到服务器将tomcat文件夹外部打开为/home/XXX/tomcat/XXX_tomcat,查看tomcat未应用弱密码:对tomcat部署服务开展检测,未发觉其他可疑的部署组件:检测xxx服务器系统进程和端口。


对关键服务器进行了处置和端口检测,发觉可疑现象入下图:发觉可疑现象后查找路径为"l",入下图:在/dev/shm路径下发觉将"l"与"conf.n"文件下载到本地开展深入分析,"l"程序代码为inux远控木马Linux.DMOS.Flood.L,"l"程序代码为linux下僵尸木马,"l"程序代码为linux下僵尸木马,"l"程序代码为远程控制功能,本地深入分析确认该文件为病毒文件:根据再次深入分析关键服务器中的系统进程和端口占用状况,还发觉了可疑文件。


使它更加可疑。在对关键服务器的日志文件开展深入分析后,发觉攻击者安装了该病毒文件后,又运用局域网扫描app“.x”调用其“pascan”和“scanssh”模块对内网ssh开展扫描,根据深入分析发觉攻击者在关键网络环境中搜集了常用密码,进而对内网开展有针对性的扫描测试。


对扫描app的深入研究还在再次,结果发觉攻击者应用扫描app获得的其他局域网的ip地址(部分):尝试用这个地址中的192.168.21.231和192.168.21.218开展ssh登录,然后应用root:huawei成功地开展ssh连接(不再测试其他地址和密码),并且在内网机器中发觉应用弱口令“123456”并发觉了相同的“l”病毒文件。攻击者应用的“passfile”dictionary文件在扫描器中被发觉,由此可以发觉攻击者应用的dictionary关键非常明确(初步判断攻击者为在网络环境中根据查询密码文件等操作获得的相关密码):隐私信息--这里没有贴图。

持续检测日志文件,发觉攻击者应用扫描器开展攻击的历史纪录,证实了所搜集的信息:根据即系深入分析,发觉攻击者在进入关键服务器后,开展了防火墙权限修改、“udf”权限升级、远程连接等操作。这些“udf病毒文件”没有在关键服务器中被发觉,“udf病毒文件”是在攻击者服务器中被抓到的,开展本地检测后被病毒文件抓到。

分享: