流量關聯分析
通過查看服務器連接的程序發現有外網ip 23.33.178.8和91.121.2.76兩個,查看到clock-applet一般為程序自帶的文件,而91.121.2.76 IP顯示的程序為./atd。
然後再通過抓取服務器數據包進行流量分析
抓取了將近一個小時的流量數據包為280條,發現並沒有發起大規模攻擊操作行為。
木馬程序分析
之後再進行查看程序./atd。
發現確實存在該運行的程序文件,再找到程序的位置:
查看到有幾個目錄文件,排查之後發現第一個/var/tmp,從時間和文件大小來看是會存在問題
再對/var/tmp/atd進行導出程序,放入木馬分析系統進行檢驗是否有木馬行為
對atd文件進行木馬掃描分析得出是比特幣木馬病毒文件
對trtgsasefd.conf文件進行木馬分析未發現問題
對外網IP:23.33.178.8中的clock-applet文件進行木馬分析未發現問題
日誌記錄分析
日誌文件只有8月和9月份的
查看/var/log/messages中沒有發現該ip入侵記錄
發現通過22遠程端口成功登錄的外網ip:60.191.15.83 101.68.90.115 (有可能是員工正常行為)
查看/var/log/secure中記錄不全沒有發現異常
查看/var/log/lastlog以及last記錄沒有發現異常登錄記錄
入侵來源分析
結合以上分析發現,攻擊者在6月7號晚上23點就已經入侵成功,服務器被攻擊有可能來自框架系統或插件漏洞引起,因此調用0day腳本測試,檢驗到漏洞存在,再使用專門的工具復現該st2-045漏洞
再查看服務器Struts版本信息為:2.3.28版本,可被利用。
總結報告描述
網站對外可訪問,因存在Struts-045插件漏洞,故而造成服務器被入侵當成挖礦肉雞。建議可先暫停服務器環境,之後重裝系統並對Struts插件進行升級修復操作以及對文件clock-applet進行刪除。