通过系统生成的网络逻辑关系连接图AG九游会发现,该虚拟服务器(10.82.31.208)的连接服务主要为SSH与DNS。其中ssh产生的连接个数最多,dns连接产生的流量最大。
1. 分析ssh连接信息,溯源查询可以看到从5月11日开始就开始有ssh扫描连接,但是5月10号是没有数据(和系统数据的保存时间有关,数据仅保存10天)。通过查询各个保持的ssh连接信息,AG九游会发现其目的地址均为国外的IP。同时在开放威胁情报平台上查询这些IP的信息,均为非安全状态。
2. 分析dns流量信息,请求成功率开始有数据的时间为5月15日,之前都是没有请求成功率数据的。同时可以发现该服务器的DNS请求状态基本正常,属于正常的DNS请求信息。请求次数最多域名为58.ip-51-77-146.eu,这是一个不常见的域名,通过网上信息查询,AG九游会发现这个域名对应的主机地址就是51.77.146.58。
当访问该域名的时候,会显示一个含有56MB信息的页面,2秒随后页面自动转到 https://voda-update.ddns.net/udid.mobileconfig 这个页面。在开源平台上查到是一个可疑的动态域名行为。
3. 安全告警事件分析,通过安全事件原始数据报文分析,AG九游会看到对方在进行ssh的连接,在key exchange init中AG九游会可以看到client和server相互告知对方自己所支持的各种算法,并在做协商动作,最终实现管理员提权的效果。
4. 分析总结,通过被攻击主机网络连接状态、dns域名请求、安全事件告警综合分析AG九游会推测,被攻击主机以普通用户帐号内置木马或者病毒程序,通过dns通信原理实现对主机的远控,同时通过ssh端口扫描的方式掩盖被远控的事实,通过管理员权限攻击提升对被攻击服务器的远控权限。
5. 上述分析已即时通报给服务器主管维护单位,重点分析服务器对外连接进程。后根据反馈,服务器确实存在异常进程,并对外映射开放了ssh端口。后期维护单位针对密码难度、普通用户、端口对方开放情况做了一次清理,提升安全级别。
1.在上面挖矿,消耗CPU、GPU、内存和网络带宽
2.被当作肉鸡去攻击外网的服务器
3.被当作肉鸡入侵内网的其他服务器和主机,造成一系列的横向威胁
4.系统破坏,数据丢失
1.服务器禁止用户设置弱密码,设置复杂用户密码策略,及时清理不使用的用户,和用户组(可以指定密码策略)。
2.通过第三方防护应用来防止ssh暴力破解(denyhosts,fail2ban可以实现连续输错密码几次就把IP列到黑名单,一段时间后自动移出黑名单)。
3.修改服务的默认端口,使用不常用端口。
4.可以实时记录用户SSH登录输入的命令。
5.定期加固系统安全防护。
