皇派平台

关于云端虚拟服务器被入侵

事件背景

2019-05-19 17:47在对某单位进行设备巡检时发现有一台虚拟服务器IP存在大量的端口扫描及企图管理员提权的安全事件告警。

15900296556499.png 



二、被攻击服务器网络连接信息

通过系统生成的网络逻辑关系连接图我们发现,该虚拟服务器(10.82.31.208)的连接服务主要为SSH与DNS。其中ssh产生的连接个数最多,dns连接产生的流量最大。

image.png


二、攻击过程分析

1. 分析ssh连接信息,溯源查询可以看到从5月11日开始就开始有ssh扫描连接,但是5月10号是没有数据(和系统数据的保存时间有关,数据仅保存10天)。通过查询各个保持的ssh连接信息,我们发现其目的地址均为国外的IP。同时在开放威胁情报平台上查询这些IP的信息,均为非安全状态。

15900297905979.png


15900299511125.png


15900299257059.png


15900299875427.png


2. 分析dns流量信息,请求成功率开始有数据的时间为5月15日,之前都是没有请求成功率数据的。同时可以发现该服务器的DNS请求状态基本正常,属于正常的DNS请求信息。请求次数最多域名为58.ip-51-77-146.eu,这是一个不常见的域名,通过网上信息查询,我们发现这个域名对应的主机地址就是51.77.146.58。

15900300666585.png


15900301062481.png


image.png

当访问该域名的时候,会显示一个含有56MB信息的页面,2秒随后页面自动转到   http://voda-update.ddns.net/udid.mobileconfig   这个页面。在开源平台上查到是一个可疑的动态域名行为。

15900302013412.png


15900303052416.png

15900303406169.png


3. 安全告警事件分析,通过安全事件原始数据报文分析,我们看到对方在进行ssh的连接,在key exchange init中我们可以看到client和server相互告知对方自己所支持的各种算法,并在做协商动作,最终实现管理员提权的效果。

15900303823016.png


15900304079756.png


15900304276658.png

4. 分析总结,通过被攻击主机网络连接状态、dns域名请求、安全事件告警综合分析我们推测,被攻击主机以普通用户帐号内置木马或者病毒程序,通过dns通信原理实现对主机的远控,同时通过ssh端口扫描的方式掩盖被远控的事实,通过管理员权限攻击提升对被攻击服务器的远控权限。

5. 上述分析已即时通报给服务器主管维护单位,重点分析服务器对外连接进程。后根据反馈,服务器确实存在异常进程,并对外映射开放了ssh端口。后期维护单位针对密码难度、普通用户、端口对方开放情况做了一次清理,提升安全级别。


四、被入侵后可能造成的威胁

1.在上面挖矿,消耗CPU、GPU、内存和网络带宽

2.被当作肉鸡去攻击外网的服务器

3.被当作肉鸡入侵内网的其他服务器和主机,造成一系列的横向威胁

4.系统破坏,数据丢失

五、此类攻击的防御方式

1.服务器禁止用户设置弱密码,设置复杂用户密码策略,及时清理不使用的用户,和用户组(可以指定密码策略)。

2.通过第三方防护应用来防止ssh暴力破解(denyhosts,fail2ban可以实现连续输错密码几次就把IP列到黑名单,一段时间后自动移出黑名单)。

3.修改服务的默认端口,使用不常用端口。

4.可以实时记录用户SSH登录输入的命令。

5.定期加固系统安全防护。








皇派平台 官网

地 址:长沙市岳麓区潇湘南路368号中盈广场D栋406-407

邮政编码:410200

电 话:+86-0731-89578690

邮 箱:szxwkj@stpetersburgball.com

招聘邮箱:szxwkj@stpetersburgball.com

久发体育手机版官网_WWW.JIUFA365.COM 五大联赛下注_WWW.JY431.COM 乐鱼体育_WWW.LEYU.COM 好彩客_WWW.1055.COM BOB综合APP_WWW.BOB68.APP 永乐国际_WWW.PK1117.COM 最大体育平台_WWW.HTH.COM BG视讯_WWW.2811.COM