一次应急响应的简单记录

写在前面的话

好久没有写公众号了，主要是因为太忙了，根本没时间写点东西，低头忙忙碌碌一下几个月就过去了。最近突然想起来还是要抽时间记录一点经历中有趣的事情。于是把遇见的一件应急响应的案例写出来记录一下，也算点有用的知识积累。

事件起因概述

先介绍这次事件起因：

网络部门部署在网络中的网络设备告警一台服务器持续不断地向当前网络中一个不存在的网络地址（a.b.c.d）发送数据包。

于是网络部门通知安全部门进行排查，是否为服务器被入侵。

事件前期处理

接到通知的处理人员登录到服务器进行排查，在服务器上进行排查时却发现从netstate/ss这样的命令获取的连接状态信息中无法看到本机对地址（a.b.c.d）的连接信息。

在本地通过tcpdump进行抓包，分析抓包信息，可以看到这台服务器确实对地址（a.b.c.d）有发包。

现场由于某些限制，此服务器无法出网也无法上传文件，只能基于本地已有环境进行操作，服务器操作系统为centos 7.6。

对服务器进行安装校验，服务器上并未被替换文件，文件都为原始文件。同时检查了内核模块加载，也确认了没有加载其他类似的文件。

由于服务器是业务服务器不能进行重启或者进行重装，也没有编译环境无法安装类似bpftrace这样的程序进行追踪调用。

事件处理

排查到这个时候，基本思路也集中到需要使用本地工具去追踪系统调用，然后查看是什么进程在进行进行发包的操作。

在网上找到了类似情况案例的解决方法，此方案借助auditd实现，auditd是Linux审计系统的用户空间组件，auditctl进行配置审计系统或加载规则，通过ausearch或aureport工具完成查看日志。

下面是模拟现场情况进行演示的操作记录

首先确认auditd服务器在运行

检查命令：systemctl status auditd.service

如果出现  Active: active (running)，说明已启动。

设置规则

auditctl -a exit,always -F arch=b64 -S sendmsg -S sendto -k send

添加一条监控sendto和sendmsg

使用auditctl -l来查看添加规则是否成功

规则添加完成以后，执行一次有网络操作的命令模拟网络连接

这里模拟向一个不存在的网络地址发送一次网络请求

echo "Hello World!" | nc -4u 172.11.1.3 6000

然后使用ausearch来进行搜索，通过已经知道的目标地址进行搜索

ausearch -k send -i|grep -A2 "172.11.1.3"

日志中可以看到是/usr/bin/ncat 在对目标地址172.11.1.3进行连接操作。

至此已经完成了进程的查找，准确定位到了目标进程。

最后清除掉配置的规则
auditctl -D

写在最后的话

这次事件处理也不算完美，因为最后虽然定位到了进程，并且确定了并不是黑客入侵植入后门导致的。但是为什么无法在netstat/ss里查到这个问题还是没有解决，因为服务器环境不允许做更大的动作操作，只能留有遗憾了。

这次响应可以算是一个小小的实战经验吧，在需要进行排查而且又没有额外工具支持的情况下，文中的方法还是可以拿来救急的。

参考链接

https://serverfault.com/questions/666482/how-to-find-out-pid-of-the-process-sending-packets-generating-network-traffic

https://access.redhat.com/documentation/zh-cn/red_hat_enterprise_linux/8/html/security_hardening/auditing-the-system_security-hardening#linux-audit_auditing-the-system

原文始发于微信公众号（大海里的废话集合）：一次应急响应的简单记录