【学习笔记】记一次服务器入侵溯源 | FreeBuf × 破壳学院训练营

2019-04-25 101346人围观 ,发现 5 个不明物体 活动

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

我是Li,本科,电子信息工程专业,有javascript、php、python 语言基础,目前学习Web 安全中。

在互联网海洋中遨游的时候,我们往往会 “一不小心” 就点击进入一些不可告人的网站,留下一些邀请黑客进入的漏洞。本文将介绍一种常规的入侵溯源,帮助大家安全上网。

溯源的目的更多的是 清理已经植入服务器的各种病毒,然后找到入侵的源头,也就是黑客是通过什么漏洞入侵服务器的。

事情的开始是这样的,在某一个晚上,一个夜黑风高的晚上,我准备把最近写的用来爬取美丽小姐姐照片的爬虫部署到服务器上,结果登录到服务器上的时候,发现操作有点卡,很明显感觉到服务器的异常,而昨天还没有这样的情况。

好在安全技能没白学,第一时间意识到服务器被入侵了。

先看看服务器的进程情况,输入Top命令,再按大写的P,根据CPU利用率来看看进程:看到有一个进程的 CPU 占用率到达 99.7%。

1.png

再查看端口连接信息,终端输入 netstat -anpt,看到有一个IP 为 158.69.133.20:3333 ,明显不是我自己的异常 IP。

2.png

都能找到 ip 地址了,离成功还能有多远?

我顺手把 IP地址复制粘贴,利用 http://www.ipip.net/ip.html ,找到IP所在的地理位置,可以看到这是一个来自加拿大魁北克的 IP。

3.png

我再到威胁情报平台查询 IP 信息 (http://x.threatbook.cn/ip/158.69.133.20)

可以看到这是一个矿池情报。加上CPU利用率接近100%的情况,咱们可以确定服务器被入侵并被植入了挖矿程序。那么刚才那个异常进程,其实就是一个挖矿进程。

4.png

 现在要做的是找到入侵漏洞和清理病毒,首先要找到文件位置,kill进程。根据进程 pid 1758直接ls -lh /proc/1758查看该进程的具体信息:

5.png

可以看到进程的exe指向的文件在/var/tmp目录下,然后我们先kill -9 1758杀死进程,避免进程占用CPU资源导致我们相关操作有点慢。

6.png

进入/var/tmp目录可以看到相关的文件,Linux 系统可以直接 md5sum 文件来提取文件的 MD5 值。、

7.png

然后到到https://www.virustotal.com/ 进行查询,可以看到这里有60款软件,有20款都对它报毒,确定这是一个挖矿程序。如下图所示:

8.png

从经验来看,这种挖矿程序,一般都是通过bash脚本进行执行,然后下载进行启动,可以通过查找日志和 history 看看是否有 wget、curl等下载行为。

9.png

上图可以很明显看到有 wget 行为。

由于下载地址还没有失效,可以直接下载脚本分析行为:

  • 除了 /var/tmp 目录下的文件,其他文件已自删除

  • 脚本中还修改了 crontab任务

清理方式:直接删除 /var/tmp 目录下的恶意文件。同时,根据脚本分析和 syslog ,我们可以看到脚本是通过 crontab 任务中 root 账户下载执行的,那么我们直接查看 /var/spool/crontabs/root 文件。  

10.png

从上图可以看到,系统的 crontabs 任务已被修改,并加入一些未知任务,我们把这些任务清理掉就可以了,可以看到任务的内容有 REDIS0006字样,我们可以排查到,这是Redis存在未授权访问的问题。修复方法:对应修复 Redis 的配置问题关闭外网访问,增加密码验证。妈妈再也不用担心我被黑了。

总结:这是一次比较顺利的溯源过程。通过前一个步骤、或者历史痕迹查到或猜测到黑客的相关操作,甚至可以获得脚本进行行为分析,但是在实际的溯源过程中,黑客会删除日志、清理相关痕迹、相关链接会失效,不过,解决这些又是一个新的话题了。

WEB安全学习其实没想象的那么难,以上分享就是我从破壳学院的课程中学到的,大佬和菜鸡只有一念之隔,懒惰永远不是你无法进步的借口!

2019年4月24日,在线课程《WEB安全入门急速训练营》进驻FREEBUF平台正式第五期招生,课程共计757751分钟教学,将在60天内系统化的让你入门WEB安全,找到学习的组织,还有师傅带队挖漏洞,我们对未来即将诞生的大佬们充满了期待,已经迫不及待的等待各位大佬们的加入,一起切磋技术,一起组队挑战各大赛事…

课程报名:《WEB安全入门急速训练营》

11.png

这些评论亮了

  • 京东快递 回复
    好好好,学了安全技能,redis还不设密码,你没检查下你的.ssh是不是让人写了公钥了,这一套花里胡哨,明天上线一看还在挖矿
    )68( 亮了
发表评论

已有 5 条评论

取消
Loading...

特别推荐

推荐关注

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php