您好,登录后才能下订单哦!
这篇文章主要讲解了“如何解决ssh服务暴力破解告警问题”,文中的讲解内容简单清晰,易于学习与理解,下面请大家跟着小编的思路慢慢深入,一起来研究和学习“如何解决ssh服务暴力破解告警问题”吧!
坐在电脑桌前的我时常神游四海,在我还是一个一推就倒的小学生生涯中,我能否想到日后的工作会每日与电脑为伍。就在沉溺于幻想无法自拔的时候,我方安全工程师于态势感知平台发现我方主机(IP:10.xx.xx.xx)于2021年3月x日18:30到3月16日6:00对外网多个iP进行ssh服务暴力破解行为,态势感知平台产生2万余条ssh服务暴力破解告警。好吧,来活了!
经过与主机管理员沟通得知该机器对外存在web服务且ssh端口对外开放,但该端口为了安全考虑修改为了不常使用的大端口5XX22并且设置了白名单,所以判断通过ssh暴力破解拿到系统权限的概率较小。极大可能是通过web漏洞进行入侵,其他对外开放端口分别为3XX2、4XX2、1XX22、8080。以下进入上机详细排查阶段:
登录态势感知平台,发现2万余条对外ssh暴力破解告警,众所周知的原因,截图就暂时省略:
上机对该主机进行检查,使用uname -a 和cat /proc/version判断该主机系统为ubuntu:
查看当前登录用户,看是否有攻击者与我们共同登录同一台主机,发现只有我自身ssh连接:
对主机网络连接情况进行查看,发现主机连接国外IP,在威胁情报库查看结果如下:
对相关进程使用 lsof -p命令进行查看,发现有个进程文件在tmp目录下,较为可疑:
对主机可以登录的用户名进行检索,使用命令 cat /etc/passwd | grep "/bin/bash"发现仅有ubuntu、root账户可以登录:
查看存在管理员权限的账户仅有root:
查看计划任务,发现可疑点,该计划任务使用了隐藏文件:
查看/tmp目录下的文件,发现3个可疑文件夹,均来自昨天创建:
对文件夹下文件内容进行查看,发现.ts文件里存在对外爆破的IP地址及字典内容,判断为黑客留在服务器上的字典、ip列表及脚本:
对.ms文件夹下文件进行调查发现存在挖矿木马特征,并有写入计划任务情况如下:
攻击者入侵本主机情况调查,查看登录成功日志,皆为排查人员登录:
发现该主机曾被外网多个IP进行暴力破解行为:
在进行安全处置的过程中,建议让主机管理方在旁边观看你的操作,尤其是业务主机(血一般的教训),避免处置过程中影响正常业务,从而被拉入黑名单。
对连接国外IP的恶意进程进行kill
对计划任务进行删除
安全分析过程中对于挖矿及远控情况多使用威胁情报库。
常见的处置命令需要记忆清楚,有的时候受害主机无法提供远程环境,需要真实上机的时候没发翻笔记(主要当着甲方面翻笔记会显得你菜)
应急响应这块推荐一本书《网络安全应急响应技术实战指南》(奇安信看到打钱)
多实践,久病成良医,被黑客入侵多了,基本上大神应急算不上,普通应急能力还是会有所加强滴!
感谢各位的阅读,以上就是“如何解决ssh服务暴力破解告警问题”的内容了,经过本文的学习后,相信大家对如何解决ssh服务暴力破解告警问题这一问题有了更深刻的体会,具体使用情况还需要大家实践验证。这里是亿速云,小编将为大家推送更多相关知识点的文章,欢迎关注!
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。