6.2 开启命令记录
1. Prepare
1.1 部署安全设备
部署主机安全产品:牧云HIDS
2. Detect
2.1 设备产生告警
2024-10-12 01:40:42,牧云产生告警,服务器执行了可疑命令:
useradd guest -o -u 0 -g 0 -c guest -m -d /home/guest -s /bin/bash -p $1$EwkP89RH$N2zHMdX5wrcpWF9lzD.3k1
登录牧云,看到源IP地址是法国的217.128.86.8
牧云没有该IP的其他告警
境外IP创建系统帐号,基本可确认是真实攻击,需启动应急
3. Contain
无异常网络连接需要遏制
无异常进程需要遏制
4. Eradicate
4.1 删除后门帐号
删除后门帐号:userdel -r guest
产生报错:user guest is currently used by process 1
因为guest帐号的uid和gid是0,所以被1号进程使用很正常
正打算按照https://www.rootop.org/pages/5075.html的方法处理,结果guest帐号不知怎么就自己没了
4.2 加固弱口令帐号
查看帐号登录情况,发现陕西IP地址106.36.198.78也登录过,整理如下:
4、Oct 13 21:41:42:陕西IP登录root帐号失败2次
由此可猜测,可能是陕西IP爆破出root帐号的弱口令后提供给法国IP,当然也可能是法国IP自己一次就猜中了root帐号的弱口令。
修改root帐号的弱口令
5. Recover
5.1 恢复帐号登录
基于/etc/shadow的ctime,识别到/etc/ssh/sshd_config也被攻击者篡改过
查看/etc/ssh/sshd_config,发现root用户被攻击者设置为禁止登录:DenyUsers root
看来攻击者是怕煮熟的鸭子飞了,顺手帮我加固了弱口令帐号。
删掉该配置项,就能恢复root帐号登录
6. Follow-Up
6.1 修改登录端口
暴力破解告警实在太多,不胜其扰
/etc/ssh/sshd_config:Port 22222
systemctl restart sshd
6.2 开启命令记录
为有效监控攻击者执行的命令,开启全量命令记录功能
原文始发于微信公众号(OneMoreThink):应急实战(10):Linux后门帐号
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论