0x00 目錄

• 關於目標環境的中間進度檢測報告
• 一：情況概述
• 二：取證情況
• 2.1 目標網絡情況
• 2.2 針對xxx服務器中間件的檢測
• 2.3 針對xxx服務器進程及端口的檢測
• 2.4 發現攻擊者的攻擊操作
• 三：溯源操作
• 3.1 關於攻擊者的反向檢測
• 四：攻擊源確定
• 4.1 確定攻擊入口處
• 五：安全性建議

關於目標環境的中間進度檢測報告

0x01 情況概述

監控軟件監控到服務器存在異常的訪問請求，故對此服務器進行安全檢查。

通過提供的材料發現內網機器對某公網網站存在異常的訪問請求，網絡環境存在著異常的網絡數據的訪問情況。針對其服務器進行綜合分析發現了病毒文件兩例，內網掃描器兩例，通過以上的發現證實服務器已被黑客入侵。

0x02 取證情況

2.1 目標網絡情況

下文中的內網內ip以及公網ip為替換後的脫敏ip。

IP所屬操作系統1.168.xxx.xxx某業務員服務器Linux2.6.32 x86_64操作系統192.168.0.0/24DMZ區Linux&windows10.10.0.0/24核心區Linux&windows防火牆

2.2 針對xxx服務器中間件的檢測

監測存在異常的服務器開放了80端口和21端口，安裝了tomcat中間件。首先進行tomcat中間件的排查，查詢得知服務器對外開tomcat文件夾路徑為/home/XXX/tomcat/XXX _tomcat ，查詢tomcat未使用弱密碼：

圖1：tomcat未使用默認弱口令針對tomcat部署服務進行檢查，未發現可疑部署組件：

圖2：未發現可疑的部署組件

圖3：未發現可疑的host配置2.3 針對xxx服務器進程及端口的檢測

針對目標服務器進行了進程以及端口的檢測，發現了可疑現象入下圖所示：

圖4:發現可疑佔用情況發現可疑現象後查找“l”所在的路徑，入下圖所示：

圖5：發現可疑文件路徑在/dev/shm路徑下發現存在“l”與“conf.n”文件

圖6：找到可疑文件將“l”與“conf.n”下載到本地進行分析，“l”程序為inux遠控木馬Linux.DDOS.Flood.L，經本地分析“l”程序為linux下殭屍木馬，同時具有遠控的功能

圖7：證實為Linux.DDOS.Flood.L木馬通過繼續分析目標服務器中的可以進程與端口占用情況，發現另外可疑文件，如下圖所示：

圖8：發現可疑文件vkgdqddsx將可疑文件進行本地分析，證實此文件為病毒文件：

圖9：證實為病毒文件2.4 發現攻擊者的攻擊操作

針對目標環境進行徹底排查，發現攻擊者使用wget操作從 http://111.205.192.5:2356服務器中下載“l”病毒文件，並執行了“777”加權的操作。

其記錄文件如下圖所示：

圖10：發現木馬文件下載操作

圖11：通過l文件的時間狀態定位到疑似攻擊者下載時間為2015-01-18 04:54:05

圖12:定位到可疑時間段連接ip地址

圖13：不同時間段的可疑連接ip通過進一步的對可疑。

通過分析目標服務器日誌文件，發現攻擊者下載病毒文件後又使用內網掃描軟件“.x”調用其“pascan”和“scanssh”模塊進行內網ssh掃描，通過分析發現攻擊者收集到了目標網絡環境中的常用密碼來進行鍼對性的掃描測試。

如下圖所示：

圖14：發現目標服務器中存在ssh爆破以及網段掃描軟件

圖15：通過在測試環境中測試發現為掃描軟件

圖16：攻擊者使用掃描軟件進行內網網段的掃描通過繼續對掃描軟件進行深入挖掘，發現攻擊者使用掃描軟件得到的其他內網的ip地址（部分）：

圖：17 攻擊者得到的內網部分地址及密碼嘗試使用此地址中的192.168.21.231和192.168.21.218進行ssh登錄，可使用root:huawei成功進行ssh連接（其他地址及口令不再進行測試），並在內網機器中發現使用弱口令“123456”並發現了同樣的“l”病毒文件。

其記錄文件如下圖所示：

圖18：進行ssh連接

圖19:連接成功後進行“ifconfig”操作

圖：在網絡中的其他機器也發現了同樣的病毒文件在掃描器中發現了攻擊者使用的“passfile”字典文件，從中可以發現攻擊者使用的字典具有很強的針對性（初步斷定攻擊者為在網絡環境中通過查詢密碼文件等操作獲取的相關密碼）：

隱私信息–此處不貼圖

圖20：發現針對性極強的密碼字典

通過繼續對日誌文件進行排查，發現攻擊者使用掃描器進行攻擊的歷史記錄，驗證了蒐集到的信息：

圖21：攻擊者進行攻擊的歷史記錄通過即系分析，發現攻擊者在進入目標服務器後，又進行了防火牆權限修改、“udf”權限提升、遠程連接等其他操作。其中“udf病毒文件”未在目標服務器中發現，在後期進行反追蹤中在攻擊者服務器中獲取到“udf”文件，進行本地檢測後病毒文件。

其記錄文件如下圖所示：

圖22: 修改iptables防火牆配置

圖23：被修改後的防火牆配置

圖24：攻擊者進行提權的操作

圖25：“udf”文件證實為病毒文件通過對攻擊者完整的攻擊取證，可證實攻擊者通過SSH連接的方式使用guest_cm用戶而和root用戶進行遠程連接，連接之後使用Wget方式下載並種植在目標服務器中“l”和“vkgdqddusx”病毒文件，並使用“udf”進行進一步的權限操作，然後使用“.x”掃描軟件配合針對性極強的密碼字典進行內網的掃描入侵，並以目標服務器為跳板使用root和xxx賬戶登錄了內網中的其他機器在入侵過程中入侵者將部分相關日誌進行了清除操作。

0x03 溯源操作

3.1 關於攻擊者的反向檢測

在取證過程中發現攻擊者服務器使用以下三個ip

xxx.xxx.xxx.x、xxx.xxx.xxx.xxx、xxx.xx.xxx.xx（打個馬賽克）

通過對這三個IP進行溯源找到

http://111.205.192.5:2356/ 網站使用hfs服務器搭建，文件服務器內存儲著各種病毒文件，其中找到了在“l”“udf”等病毒文件，證實前文中的判斷。

圖26：文件服務器中存儲著在本次攻擊中所使用的病毒文件通過其他手段查詢得知使用ip地址曾綁定 www.xxxx.com網站，並查找出疑似攻擊者真實姓名xxx、xxx，其團體使用[email protected]、[email protected]等郵箱，使用61441xx、3675xx等QQ。並通過某種手段深挖得知攻擊者同事運營著多個博彩、私服類網站。

其他信息請看下圖：

圖27：攻擊團伙使用支付寶及姓名

圖28：攻擊團伙旗下的其他博彩、私服網站

圖29：攻擊者旗下部分博彩、私服網站打碼處理

圖30：攻擊團伙成員QQ信息

0x04 攻擊源確定

4.1 確定攻擊入口處

綜合我們對內網多臺服務器的日誌分析，發現造成本次安全事件的主要原因是：

10.0.xx.xx設備的網絡部署存在安全問題，未對其進行正確的網絡隔離，導致其ssh管理端口長期暴露在公網上，通過分析ssh登陸日誌，該臺設備長期遭受ssh口令暴力破解攻擊，並發現存在成功暴力破解的日誌，攻擊者正是通過ssh弱口令獲取設備控制權限，並植入木馬程序進一步感染內網服務器。

具體攻擊流程如下圖所示：

圖31：黑客本次攻擊流程圖

圖:32：存在長期被爆破的現象

圖33：被某公網ip爆破成功進入機器經分析，2016年1月12號公網ip為211.137.38.124的機器使用ssh爆破的方式成功登陸進入10.0.xx.xx機器，之後攻擊者以10.0.16.24機器為跳板使用相同的賬戶登錄進入192.168.xxx.xxx機器。

圖34：相同賬戶進入192.168.150.160機器攻擊者進入192.168.150.160機器後，於2016年1月17日使用wget的方式從http://111.205.192.5:23561網站中下載了 “Linux DDos”木馬文件，並使用掃描器對內網進行掃描的操作。

圖：35攻擊者下載“Linux DDos”病毒文件攻擊者通過相同的手段在2016年1月17日使用sftp傳輸的方式進行了木馬的擴散行為，詳細情況見下圖：

圖36:使用SFTP傳輸的方式進行木馬的擴散0x05 安全性建議

1. 對使用密碼字典中的服務器進行密碼的更改。
2. 對網絡環境進行徹底的整改，關閉不必要的對外端口。
3. 網絡環境已經被進行過內網滲透，還需要及時排查內網機器的安全風險，及時處理。
4. SSH登錄限制
5. 修改sshd配置文件

由於服務器較多，防止病毒通過ssh互相傳播，可通過修改sshd_config，實現只允許指定的機器連接，方法如下：

登錄目標主機，編輯/etc/ssh/sshd_config

# vi /etc/ssh/sshd_config

在文件的最後追加允許訪問22端口的主機IP，（IP可用*號通配，但不建議）

原創文章，作者：Drops，轉載自：http://www.mottoin.com/tech/118684.html