某伺服器安全事件分析過程分析和總結

2021-07-15 15:04:48 字數 3191 閱讀 2080

0x01 攻擊入口的查詢

圖示一 ssh爆破失敗的圖示

圖示二 ssh爆破成功的圖示

0x02木馬行為分析

木馬的行為是對某個ip進行syn flood攻擊,也就是dos攻擊,並執行一些像ls,cd之類常見的命令,同時在檢視進行發現裡面表現為隨機的10位字母的程序,且殺死該程序後,會再隨機產生乙個新的程序。

圖示三為抓包的攻擊圖,發現他會像乙個ip瘋狂的傳送tcp資料報,也就是我們說的dos攻擊。

圖示四位檢視程序時發現程序會執行一些常用的命令,執行命令這些命令的目的是混淆我們查詢的線索。不過剛開始分析時確實疑惑為什麼執行了這些命令。

同時一位同事定位到程序/usr/bin/oczvmysyyj為可疑程序,並對其進行kill,但是殺死這個程序之後,又會間隔一段時間隨機產生新的程序,通過top命令檢視可知。由於入侵進伺服器器的時間是凌晨左右,我的乙個思路是查詢成功之後新增或修改的檔案,看是否能對木馬進行定位和查詢。使用find path -ctime -n發現建立的檔案太多且觀察時間也不太直觀,就是還有了ls -ltrh逐個資料夾進行檢視增加的檔案。最後根據入侵的時間,查詢到ctontab和gcc.sh檔案在凌晨進行了修改。於是就對這兩個可疑檔案進行了分析。

圖示五利用命令檢視 /etc/crontab內容

圖示我們檢視的檔案時定時任務最後一列的意思是每3分鐘執行一次gcc.sh這個檔案。那麼我們再分析下gcc.sh這個檔案。

圖示六利用命令檢視 /etc/cron.hourly/gcc.sh內容

for i in `cat /proc/net/dev|grep :|awk -f: `; do ifconfig $i up& done
這句shell的作用是啟用全部的網絡卡,而/lib/libudev.so.6庫檔案其實是可以執行的檔案。其實這個檔案也是dos攻擊的源頭。

圖示七 /lib/libudev.so.6檔案時可執行檔案而並非庫檔案,可以看出他們的區別,由於環境破壞了,就截了網頁上的圖了。

掃搜關鍵字對木馬資訊進行查詢,發現很多**頁收到了類似的攻擊。然後我們以為禁用以上檔案就可以的時候,然而並沒有我們想象的那麼簡單,不是我們太天真,而是黑客太狡猾。下面還是那位同事的分析過程,我們才完全了解這個木馬執行原理,我簡單描述一下。利用strace 命令,跟蹤這個木馬程式做了什麼。具體過程是libudev.so檔案負責攻擊,木馬程式/usr/bin/zpmmbthegp(名字每次會變化)會負責生成crontab、libudev.so、gcc.sh等其它檔案並不斷產生新的木馬程序。它是自複製和感染的,並寫在了啟動項中自動開機啟動。

圖示八是跟蹤的過程圖

圖示九是啟動項下感染和繁殖的程式

需要清理的檔案和程序/etc/rc*.d,/etc/crontab, /etct/cont.*/xx.sh, /usr/bin/偽裝二進位制命令,lib包,lsof命令拿出pid並kill掉木馬程序。到此,木馬的分析結束。

0x03安全時間流程總結

1、cat /etc/passwd 檢視是否有可疑使用者。

2、netstat -anp ps top等命令 檢視所有連線、程序及pid號,是否有異常連線或程序。

3、cat /etc/profile和cat /root/.bashrc和cat /home/使用者/.bashrc 檢視系統環境變數和各使用者的系統變數。

4、ls -al /etc/rc*.d 檢視開機啟動程式

5、crontab 檢查計畫任務檔案。

6、檢視系統日誌。主要是/var/log/messages(程序日誌)、/var/log/secure.*(系統登入成功失敗日誌)  who /var/log/wtmp(系統登入成功使用者) who /var/log/bmtp

(系統登入失敗日誌)、lastlog(檢視使用者最後的登入時間)等等。

7、history 檢視命令歷史。cat /home/使用者/.bash_history 檢視各使用者命令記錄

8、其他服務,http服務access.log和error.log日誌,mysql的使用者登入日誌,其他相關服務日誌等。

9、檢視最近建立和修改的檔案,如果查根目錄下檔案會太多,可以重點查web服務目錄、/etc、/lib、/home、/usr等目錄下最新建立和修改的檔案。

下面是常用的命令。

查詢某個特定檔案特徵碼的檔案:find 目錄 -name "*.sh" |xargs grep "特徵碼" |more

檢視最新3天內修改的檔案,find 目錄 -mtime 0 -o -mtime 1 -o -mtime 2

近三天內修改的sh結尾的檔案 find 目錄 -mtime 0 -o -mtime 1 -o -mtime 2 -name "*.sh" (建立的檔案引數改為-ctime即可)

0x04用到的命令總結

tcpdump linux下抓包工具

lsof 定位主程序位置

top 觀察異常程序情況

ps 檢視伺服器程序

top 裡面可以觀察到程序

netstat 檢視伺服器開放埠命令

strace 跟蹤程式執行的過程命令

file 檢查檔案型別

find 查詢檔案的命令

其他相關命令

0x05參考文章總結

伺服器安全分析

web伺服器安全分析 access log分析 大量出現類似的日誌項在access log裡 這是有其他人的 掃瞄軟體在檢測你的伺服器是否支援 從而可以利用你的伺服器來做跳板訪問其它 至於幹什麼就不用我說了吧 http的 協議跟你平常看到的一般請求有些許不同,如果你的伺服器是乙個http 那麼客戶端...

伺服器硬碟掉線解決過程分析

伺服器內有兩塊硬碟掉線,現在伺服器內的lun丟失了,資料恢復工程師開始對故障伺服器進行檢測發現掉線的硬碟並沒有存在物理故障 也沒有壞道等其他故障。於是開始對客戶的故障伺服器進行映象備份。本次需要進行資料恢復的伺服器沒有硬碟故障,所以硬碟掉線的原因可能是因為硬碟讀寫不穩定導致的,硬碟讀寫不穩定將被控制...

對某linux伺服器登入連線日誌分析

1.1對某linux伺服器登入連線日誌分析 1.1.1linux記錄使用者登入資訊檔案 linux作業系統登入連線連線日誌檔案有var log wtmp var log btmp和 var run utmp,這三個檔案均為二進位制檔案,並且三個檔案結構完全相同,是由 usr include bits...