背景
最近搭了個redis未授權訪問漏洞的靶機,搭完沒多久就被國外黑客入侵了,放了不少挖礦病毒在上面,服務器直接卡死。好久沒有做應急了,剛好借着這個契機,復習下應急響應這部分內容。
開始
應急響應的開始,我覺得應該先了解中招主機的現象、主機裝了哪些服務、客戶執行了哪些操作等信息。從這些方面先進行信息收集,做到心中有數。然后對該主機進行處置工作,處置完成后對攻擊路徑進行溯源,最后修補漏洞。
我這台主機安裝了redis,並且存在未授權訪問漏洞,目前我已經把挖礦的程序停掉了,現在的需求是:
- 找到攻擊者的攻擊IP地址
- 找到攻擊者攻擊的時間
- 清除攻擊者留下的后門程序
排查過程
因為只有一台主機,不是企業內網系統,所以不需要進行斷網隔離操作。
挖礦病毒通常存在自啟動腳本,所以我先查看了計划任務,發現在計划任務中存在一條攻擊者添加的計划任務。
*/30 * * * * sh /etc/newinit.sh >/dev/null 2>&1
腳本程序為newinit.sh,存在於/etc目錄下,每30分鍾執行一次。
關於參考鏈接:https://www.huaweicloud.com/articles/0127d177d26e2d20279a416028d6ba0d.html
我先將攻擊程序備份,然后通過stat命令查看腳本屬性,發現文件的創建時間為2021-3-30,所以想逐步排查這一段時間的系統日志。但這個我覺得不着急,先把基礎的檢查項排查完成。
除了root用戶外,沒有發現存在管理權限的其他用戶
history歷史已被清除
沒有異常網絡連接
額,我的處置比較簡單,攻擊程序每30分鍾執行一次,所以我重啟了服務器,然后把攻擊腳本內容置為空。
除了計划任務外,在開機啟動目錄下,存在好幾個程序,我不知道這幾個程序干啥的,反正不是我開啟的,先記下來。
將計划任務和自啟動里面的程序保存下來,上傳到微步雲沙箱進行分析。結果是計划任務里的newinit.sh為惡意挖礦程序。直接查看內容,發現訪問一個195.58.39.46的國外IP地址,應該是一個存放挖礦腳本的服務器。
查看redis日志,我都不知道之前redis日志開沒開:happy:。根據網上教程,通過查看redis配置文件,匹配搜索logfile關鍵詞,關鍵字的值為空。參考鏈接:https://blog.csdn.net/qq_42690811/article/details/103366518
但是通過直接搜索redis.log,發現在/var/log/redis/下存在redis.log,看看里面有什么內容。emm,尷尬,主要是redis的啟動日志,沒啥用。
好吧,以我的能力看樣子不能繼續啥進展了,主機沒有使用弱口令,通過口令猜解的方式入侵的可能性不大。emm,感覺沒啥好排查的了,尷尬。
總結
這事一次很基礎很基礎的主機漏洞排查工作,同時認識到日志功能真的很重要。