您当前的位置:首页 > 电脑百科 > 安全防护 > 网络安全

一次SSH爆破攻击haiduc工具的应急响应

时间:2022-04-07 15:06:52  来源:  作者:IT野涵

一、概述

2022年3月底,在网络安全监测中发现某网络攻击组织利用SSH爆破投放挖矿程序的活动比较活跃,主要涉及的是一个haiduc的工具。

二、检测定位阶段工作说明

2.1、异常现象确认

服务器被植入木马病毒,并对内网进行暴力破解。本次发起暴力破解的主机为10.101.2.210。

2.2、溯源分析过程

通过态势感知查看暴力破解检测日志,发现最早从2月16日凌晨3点半左右出现暴力破解告警情况,攻击源为10.101.2.210服务器。

三、抑制阶段工作说明

临时配置防火墙禁止101.2.210访问其他区域服务器22端口;

修改服务器10.101.2.210弱密码为强口令;

【→所有资源关注我,私信回复“资料”获取←】
1、网络安全学习路线
2、电子书籍(白帽子)
3、安全大厂内部视频
4、100份src文档
5、常见安全面试题
6、ctf大赛经典题目解析
7、全套工具包
8、应急响应笔记

四、根除阶段工作说明

1.进程分析:ps -ef 查看运行进程,发现大量sshd命令

一次SSH爆破攻击haiduc工具的应急响应

 

2.通过异常进程PID查看恶意程序,发现指向usr/share/man/.md/haiduc这个文件

一次SSH爆破攻击haiduc工具的应急响应

 

3.进入到指定文件夹目录下

一次SSH爆破攻击haiduc工具的应急响应

 

4.拷贝下来进行病毒分析

一次SSH爆破攻击haiduc工具的应急响应

 

上传微步沙箱分析

一次SSH爆破攻击haiduc工具的应急响应

 

5.进行目录文件解剖(存在爆破IP和账号密码信息)

一次SSH爆破攻击haiduc工具的应急响应

 


一次SSH爆破攻击haiduc工具的应急响应

 

6.登录安全:ssh免密登录排查

一次SSH爆破攻击haiduc工具的应急响应

 

未发现配置有可疑的ssh免密登录keys

7.服务器最近登录日志分析

一次SSH爆破攻击haiduc工具的应急响应

 

其中:10.100.2.40、10.100.2.80、10.17.250.179为工程师IP。

最早登录时间:2月16日 03:34 ,登录IP: 10.100.2.211

8.查看最近爆破登录日志

一次SSH爆破攻击haiduc工具的应急响应

 


一次SSH爆破攻击haiduc工具的应急响应

 

该机器发现有被ip10.101.31.4进行ssh爆破的记录,最早时间3月12日,未发现其他爆破情况;

9.账号异常排查

一次SSH爆破攻击haiduc工具的应急响应

 


一次SSH爆破攻击haiduc工具的应急响应

 

分析:未发现异常可疑账号

10.查看历史操作日志

一次SSH爆破攻击haiduc工具的应急响应

 


一次SSH爆破攻击haiduc工具的应急响应

 

分析:发现恶意脚本haiduc被执行的记录和远程下载恶意文件的记录

11.自启动项分析

一次SSH爆破攻击haiduc工具的应急响应

 

未发现异常

12.计划任务

一次SSH爆破攻击haiduc工具的应急响应

 

未发现异常

13.根除

(1)修改弱口令为强复杂度扣口令

(2)Kill -9 haiduc 强行杀毒恶意进程后,进程断开

杀死进程前

一次SSH爆破攻击haiduc工具的应急响应

 

杀死进程后

一次SSH爆破攻击haiduc工具的应急响应

 

(3)删除对应的文件目录和文件

一次SSH爆破攻击haiduc工具的应急响应

 


一次SSH爆破攻击haiduc工具的应急响应

 

截止目前,服务器恶意进程停止和态势感知恶意告警消失。

分析小结

通过分析判断,极有可能主机10.101.2.210于2月16日凌晨3点前后被植入病毒文件,并通过SSH爆破的方式进行内网传播。经过对病毒的传播方式进行分析,很可能为ip 10.101.2.211登录该主机远程下载恶意文件haiduc导致。对进程和病毒文件进行清理之后,病毒未复发。



Tags:SSH爆破   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
一、概述2022年3月底,在网络安全监测中发现某网络攻击组织利用SSH爆破投放挖矿程序的活动比较活跃,主要涉及的是一个haiduc的工具。二、检测定位阶段工作说明2.1、异常现象确...【详细内容】
2022-04-07  Tags: SSH爆破  点击:(0)  评论:(0)  加入收藏
今天,小编就实现一下简单的ssh暴力破解特定的目标用户名/密码噢,当然我之简单的用python实现一下,让想学习这方面技术的人学习一下,当然,私信我,加群,我们带大家了解更多的黑客技术!!...【详细内容】
2019-09-17  Tags: SSH爆破  点击:(456)  评论:(0)  加入收藏
之前讲过ftp服务器的暴力破解,感觉大伙反应也挺热烈的。那今天,小编就实现一下简单的ssh暴力破解特定的目标用户名/密码噢,当然我之简单的用python实现一下,让想学习这方面技术...【详细内容】
2019-09-16  Tags: SSH爆破  点击:(197)  评论:(0)  加入收藏
▌简易百科推荐
一、概述2022年3月底,在网络安全监测中发现某网络攻击组织利用SSH爆破投放挖矿程序的活动比较活跃,主要涉及的是一个haiduc的工具。二、检测定位阶段工作说明2.1、异常现象确...【详细内容】
2022-04-07  IT野涵    Tags:SSH爆破   点击:(0)  评论:(0)  加入收藏
先来解释一下什么是后漏洞利用阶段。就是经过一系列简单或者复杂的操作后,你已经获取了目标机器当前的管理员权限,但是你这个管理员权限不一定一直会有效,说不定目标机器的主人...【详细内容】
2022-03-29  会测试的鲸鱼    Tags:漏洞   点击:(16)  评论:(0)  加入收藏
网络安全重要吗?当然,现代人的社交数据、健康数据、个人信息数据、支付数据全都在网络上。对于一家企业来说,没有网络安全专家,就相当于开餐厅没有厨师。到2027年,全球网络安全市...【详细内容】
2022-03-18  圣普伦数字技术培训    Tags:安全漏洞   点击:(22)  评论:(0)  加入收藏
镜像下载、域名解析、时间同步请点击阿里巴巴开源镜像站-OPSX镜像站-阿里云开发者社区 近日,国外安全团队披露了 Polkit 中的 pkexec 组件存在的本地权限提升漏洞(CVE-2021-40...【详细内容】
2022-03-18  萌褚    Tags:漏洞   点击:(22)  评论:(0)  加入收藏
春节期间,德国石油储存公司 Oiltanking 遭到黑客组织的持续网络攻击。由此,让我们来讨论一下如何区别对待事件响应与事件管理。作者丨陈峻策划丨孙淑娟不知您是否留意到,我们...【详细内容】
2022-02-10    51CTO  Tags:事件响应   点击:(40)  评论:(0)  加入收藏
本内容纯属技术记录,切勿用来做违法事情环境受害方:win 10攻击方:kali linux ipwin 10:10.1.1.20kali linux:10.1.1.128网关:10.1.1.1攻击原理两台电脑第一次联系时,第一台会通过AR...【详细内容】
2022-02-08  剑凡    Tags:DNS劫持   点击:(54)  评论:(0)  加入收藏
(报告出品方:德勤)数字化转型网络安全及转型挑战在任何行业,保持竞争力都需要快速开发新产品和 服务并推向市场。创新型业务模式不仅仅是简单地将现有 流程数字化,其正在覆盖供应...【详细内容】
2021-12-22  认是    Tags:网络安全   点击:(79)  评论:(0)  加入收藏
10月18号, W3C中网络平台孵化器小组(Web Platform Incubator Community Group)公布了HTML Sanitizer API的规范草案。这份草案用来解决浏览器如何解决XSS攻击问题。 网络安全中...【详细内容】
2021-12-07  实战Java  博客园  Tags:脚本攻击   点击:(56)  评论:(0)  加入收藏
一、背景介绍大家在Linux的日常使用中都晓得如何通过命令行去配置Linux的端口开放规则,但是大家知道如何配置Windows入站出站规则吗?有哪些常见的危险端口呢?如何解决上述问题...【详细内容】
2021-12-01  Kali与编程    Tags:防火墙   点击:(88)  评论:(0)  加入收藏
网络安全服务商Randori公司日前发布了一份调查报告,列出了网络攻击者最有可能攻击或利用的IT资产。在遭遇Solarwinds黑客攻击一周年之际,以及在网络安全(尤其是勒索软件和供应...【详细内容】
2021-10-28  企业网D1net   企鹅号  Tags:网络攻击   点击:(103)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条