Ein Protokoll einer Notfallreaktion nach einem Einbruch in einen Linux-Server (Zusammenfassung)

Kürzlich erhielten wir von einem Kunden eine Bitte um Hilfe. Er erhielt Informationen aus dem verwalteten Telekommunikations-Computerraum, die ihn darüber informierten, dass einer seiner Server Angriffsdaten nach außen sendete. Hoffentlich können wir bei der Behebung des Problems helfen.

1. Bestätigen Sie den Sicherheitsvorfall

Die Situation ist dringend und als Erstes muss die Echtheit des Sicherheitsvorfalls bestätigt werden. Nach Rücksprache mit dem Betriebs- und Wartungspersonal des Servers erfuhren wir, dass die geschäftliche Anwendung nur im Intranet erfolgte, der Server jedoch tatsächlich für das öffentliche Netzwerk geöffnet war, direkt im öffentlichen Netzwerk angepingt werden konnte und der Remote-Port 22 geöffnet war. Ab diesem Zeitpunkt kann grundsätzlich bestätigt werden, dass der Server gehackt wurde.

2. Protokollanalyse

Es wird spekuliert, dass sich der Hacker möglicherweise per SSH-Brute-Force beim Server angemeldet hat. Überprüfen Sie die Protokolle in /var/log und stellen Sie fest, dass die meisten Protokollinformationen gelöscht wurden, die sicheren Protokolle jedoch nicht zerstört wurden. Es sind viele Protokolle mit fehlgeschlagenen SSH-Anmeldungen zu sehen, und es gibt Aufzeichnungen von Root-Benutzern, die sich nach mehreren fehlgeschlagenen Anmeldungen erfolgreich angemeldet haben, was den Merkmalen von Brute-Force-Cracking entspricht.

Durch die Überprüfung der Bedrohungsinformationen wurde festgestellt, dass mehrere für Brute-Force-Angriffe verwendete IP-Adressen allesamt bösartige Scan-Verhaltensweisen aufwiesen.

3. Systemanalyse

Überprüfen Sie die wichtigsten Systemkonfigurationen, Konten, historischen Aufzeichnungen usw., um die Auswirkungen auf das System zu bestätigen

Es wurde festgestellt, dass die Verlaufsdatensätze in /root/.bash_history gelöscht wurden und keine weiteren Anomalien auftraten.

4. Prozessanalyse

Überprüfen Sie aktuell aktive Prozesse, Netzwerkverbindungen, Startelemente, geplante Aufgaben usw.

Die folgenden Probleme wurden festgestellt:

1) Abnormale Netzwerkverbindung

Durch die Überprüfung der Systemnetzwerkverbindung wurde festgestellt, dass ein Trojaner-Backdoor-Programm te18 mit externer Netzwerkverbindung vorhanden war.

Bei der Online-Überprüfung stellte sich heraus, dass es sich bei der Datei um ein Linux-Backdoor-Programm handelte.

2) Ungewöhnlich geplante Aufgaben

Durch die Überprüfung der in Crontab geplanten Aufgaben wird festgestellt, dass es abnormale geplante Aufgaben gibt.

Analysieren Sie die Ausführungsdatei und die Startparameter der geplanten Aufgabe

Online-Check-and-Kill-bezogene Dateien sind Mining-Programme

Anzeigen der Konfigurationsdatei des Mining-Pools

5. Dokumentenanalyse

Im Verzeichnis /root wurden von Hackern eingeschleuster Schadcode und zugehörige Betriebsdateien gefunden.

Hacker erstellen einen versteckten Ordner /root/.s/, um Mining-bezogene Programme zu speichern.

6. Hintertüruntersuchung

Verwenden Sie schließlich RKHunter, um die System-Hintertür zu scannen

VII. Fazit

Durch die obige Analyse können wir feststellen, dass der Hacker das Root-Benutzerkennwort durch SSH-Blasting geknackt und sich in das System eingeloggt hat, um Mining-Programme und Trojaner-Hintertüren einzuschleusen.

Verstärkungsvorschläge

1) Löschen Sie die geplanten Crontab-Aufgaben (löschen Sie den Inhalt der Datei /var/spool/cron/root) und löschen Sie die von Hackern auf dem Server implantierten Schaddateien.

2) Ändern Sie alle Systembenutzerkennwörter und erfüllen Sie die Anforderungen an die Kennwortkomplexität: mehr als 8 Zeichen, einschließlich einer Kombination aus Groß- und Kleinbuchstaben + Zahlen + Sonderzeichen;

3) Wenn dies nicht erforderlich ist, verhindern Sie das Öffnen des SSH-Ports für das externe Netzwerk oder ändern Sie den Standard-SSH-Port und beschränken Sie die zulässige Zugriffs-IP.

Das Obige ist der vollständige Inhalt dieses Artikels. Ich hoffe, er wird für jedermanns Studium hilfreich sein. Ich hoffe auch, dass jeder 123WORDPRESS.COM unterstützen wird.