概述
通过安全设备平台监测到IP:1x.xx.xx.xx(用户账号:xxxxx)对网内其他资产进行SSH暴力破解攻击,封禁该上网上号后,进行杀毒软件进行全盘查杀,未发现异常,于是请求我单位进行实施应急响应服务,到达现场,通过对相关服务器进程、启动项、计划任务、服务、文件、日志等进行取证分析,发现并处置恶意文件,并提供系统安全加固建议。
成果
经问询受害服务器责任人,IP:1x.xx.xx.xx为学院实验室路由器,为26台服务器分配IP地址(192.168.1.0/24),由于该路由器未开启安全审计、上网行为管理等功能,导致无法定位到受害服务器,故抽取3台服务器进行排查,经对进程、启动项、文件等进行排查,未发现异常,分析安全日志,发现均于1月31日4点42分遭到服务器192.168.1.3的SSH暴力破解攻击,未发现暴力破解成功记录,故对服务器192.168.1.3进行排查取证。
对受害服务器192.168.1.3取证,发现端口扫描工具“/media/.w/m”、暴力破解工具“/media/.w/parse”等恶意文件;分析受害服务器系统日志,发现服务器于1月30日10点38分遭到SSH暴力破解攻击,攻击者成功登录root用户;经问询,管理员使用autossh将受害服务器22端口映射至阿里云服务器4x.xx.xx.xx;对服务器4x.xx.xx.xx端口连接情况、进程、启动项、计划任务等排查,未发现异常,未发现autossh日志。
综上所述,由于管理员将受害服务器22端口映射至公网,
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
