0x00 结论

1. 主机未限制端口访问，ssh端口暴露外网

2. 外部大量ip（100+）对主机进行暴力破解，且从13号21：12分开始陆续有6外网ip成功验证ssh

3. 验证成功后自动化程序部署后门，并加入至计划任务，第一个成功执行的恶意计划任务时间为22:21:01，发现多处后门，但比对后发现实际可执行文件有两个（通过部分行为及连接ip判断两个文件为同一伙人所留），其余只是文件名不同

4. 14号上午由于恶意进程导致机器cpu占用100%，后门被发现

0x01 过程

#!bash[[email protected] 13146]# stat /usr/bin/faksiubbri  file: `/usr/bin/faksiubbri'  Size: 610224          Blocks: 1200       IO Block: 4096   regular fileDevice: 802h/2050d      Inode: 312739      Links: 1Access: (0755/-rwxr-xr-x)  Uid: (    0/    root)   Gid: (    0/    root)Access: 2015-01-14 10:33:13.000000000 +0800Modify: 2015-01-14 10:29:06.000000000 +0800Change: 2015-01-14 10:29:06.000000000 +0800
[[email protected] 13862]# stat /usr/bin/ohzxttdhqkfile: `/usr/bin/ohzxttdhqkSize: 625622          Blocks: 1232       IO Block: 4096   regular fileDevice: 802h/2050d      Inode: 312741      Links: 1Access: (0755/-rwxr-xr-x)  Uid: (    0/    root)   Gid: (    0/    root)Access: 2015-01-14 10:32:59.000000000 +0800Modify: 2015-01-14 10:29:26.000000000 +0800Change: 2015-01-14 10:29:26.000000000 +0800

1. 服务器运行了web、ftp服务，但非root权限

2. last并未发现异常登录信息、history未发现可疑操作、且默认ssh端口禁止对外开放，故忽视了ssh入侵的判断

3. 服务器存在bash漏洞，导致怀疑是bash漏洞+提权、但未发现可疑的accesslog

4. 此前stat文件判断时间有误，事后发现管理员之前有kill程序进程操作，进程结束后会删除自身并生成新的文件，所以stat到的时间信息其实是管理员kill进程的时间

/etc/cron.hourly/cron.sh/etc/cron.hourly/udev.sh

0x02 疑点

0x03 改进建议

1. 排查其他主机是否有重要端口对外

2. 排查其他主机是否存在恶意文件，可注意以下几点：

1. /etc/init.d/目录下是否存在10位随机字母文件名的文件

2. /etc/rc%d.d/S90+10位随机字母文件名的文件（%d为0-5数字）

3. 是否存在/etc/cron.hourly/udev.sh

4. 是否存在/etc/ cron.hourly/cron.sh

5. /etc/crontab中是否存在可疑计划任务

6. /usr/bin目录下是否存在10位随机字母文件名的文件

3. 修复主机bash漏洞

4. 增加主机密码复杂度（包括重要端口不对外主机）

5. 针对异常情况主机，安全人员排查前尽量不要有操作，如果需要对文件有操作，一定要先保存stat信息结果，备份文件内容，修改密码/新建账户/删除账户前一定要先stat /etc/passwd与stat /etc/shadow并保存执行结果

0x04 题外话

web入侵

web类入侵事件可结合以下几点排查：

1. 记录后门文件stat信息，判断入侵发生时间，另外需要与accesslog做对比，判断是否为第一个后门。

2. 查找入侵者放置的其他后门可通过已知后门文件的mtime、文件内容等可作为特征查找，也可以与svn、此前备份文件做比对或者打包web目录文件使用一些webshell查杀软件。

3. 查找一天内修改过的文件命令

#!bashfind /home/work –mtime -1 –type f

        4.查找系统中包含指定字符的所有文件（可以拿已知shell密码及特定字符作为关键字）

#!bash
find /|xargs grep -ri "Bot1234" -l 2>/dev/null（执行后会改变所有文件的atime，请做完5中提到的点之后操作）

        5. 查看较大的日志文件时，可先通过fgrep指定字符筛选，比如已知shell文件为conf.php,可通过命令fgrep –a ‘conf.php’ accesslog > conf_access来筛选conf.php的访问记录，如果为一些高危漏洞，也可根据漏洞利用的关键字来筛选，通过第一步筛选结果后可找出入侵者ip等信息，可继续通过这些信息在accesslog中找到攻击者的所有访问记录以便进一步排查

        6. 判断影响时，当webshell操作为post且无流量镜像时，判断一些敏感文件如源码打包文件、包含密码信息文件是否被读取可通过文件atime信息来判断，此外对webshell的请求条数以及返回的字节数都可以作为定损的大概依据

非web方式入侵

此外，可结合以下几点排查：

1. 判断服务器是否支持访问外网，如支持，通过netstat –an查看是否已与外部可疑服务器建立连接，如已建立需及时断开

2. 记录后门文件stat信息，根据mtime查找其他后门文件，同时根据文件属组与属组对应运行服务判断入侵方式

3. 如果权限组为root，需要检测是否被种rootkit，rootkit检测可使用rkhunter：rkhunter.sourceforge.net/

4. 非web类后门，大部分人习惯把恶意文件放置在/tmp目录下，此外可通过可疑进程名与cpu占用率排查，有些后门会伪装正常进程名，但是top命令可通过cpu占用率找出后门进程，获取进程pid后可cd到/proc/对应pid目录，ls –al查看exe对应值可得知文件路径，另外可查看计划任务，后门程序为保证自启动往往会添加新的计划任务

   
   

转自: https://blog.csdn.net/weixin_34214500/article/details/87980222

推荐阅读

[基础入门] - BurpSuite的常用Tips

弱口令扫描工具 - 一款跨平台小巧的端口爆破工具

[个人开源] - 一款IP资产巡航扫描系统V1.0

linux应急常用命令+技巧总结

原文始发于微信公众号（渗透测试教程）：主机被入侵分析过程