记一次内网服务器中毒的排查与解决
本帖最后由 不要再打了 于 2022-5-25 18:18 编辑本文转载自我的知乎专栏:https://zhuanlan.zhihu.com/p/519712144
现象某日摸鱼时发现上网特别慢,网页加载半天才出来,问了旁边的同事,也是一样的现象。小公司,非常简单的网络结构
排查用PC长ping 114.114.114.114,看上去没啥异常的,奇了怪了。登录到网关上去看,好家伙,某台服务器的连接数直接干到了10多万……192.168.100.250是办公室里一台服务器,为方便调试对外映射了SSH
看这样子,服务器八成是中毒了。再查看它的详细会话,全是向外的22端口扫描。这就是传说中的肉鸡么…
当务之急,是先做一条策略,把这台服务器向外网22端口的扫描流量给阻断掉。向外扫描的流量都有这么大
这种情况,应该是服务器里被安装了恶意的程序,然后一直向外发起连接。我们登到服务器后台看看。ps -aux查看后台进程
长长的一溜全是这个/sbin/apcid,最早从5月15号就开始运行,恶意程序估计就是它了。创建时间确实是5月15日,就是它了
直接执行killall -9 apcid关掉进程,然后删除这个程序,再到网关上去看看。回到了正常的1000多,搞定
搞定之后,网络恢复了正常。但我还是想去回溯一下,当时到底发生了什么。因为服务器向外映射了SSH,攻击者应该就是通过SSH登录后放置了恶意程序。因为恶意程序的创建时间是15日16时左右,所以我们回看一下15日下午,有哪些地址访问了我们服务器的22端口(目标为192.168.100.250:22)。其中框里的两个会话明显十分可疑:
[*]源地址109.237.14.103位置是俄罗斯的
[*]连接时间很长,并且流量也很大
[*]上行流量明显大于下行,极大可能是在往服务器中上传东西
[*]第二个会话时间是16:02,与恶意程序的创建时间基本吻合
反过来查服务器向外的请求,源为服务器(192.168.100.150),目标22端口的数据:注意时间,从15日16:04开始发起了大量扫描请求服务器后台查看登录历史,也印证了上面记录的数据
总结所以到此为止,整个事件完整的脉络已经梳理出来了:
[*]境外的攻击者109.237.14.103通过SSH登录了我们内网的服务器192.168.100.250(可能是密码太久没换了)
[*]成功登录后,攻击者上传了一个名为apcid的恶意软件,放在了sbin目录下并执行
[*]之后内网中的服务器192.168.100.250持续大量地向外网地址的22端口进行扫描,寻找下一个肉鸡
[*]与此同时,大量的连接数占据了网络出口,也导致摸鱼的我网络变慢了
最后还是建议大家,尽量不要把SSH端口暴露在公网,就算要放,除了密码设复杂一些外,也一定一定要定期修改密码!
我这个就算投稿了哈:lol:lol 不要再打了 发表于 2022-5-25 18:33
我这个就算投稿了哈
好的,感谢支持:handshake:handshake
页:
[1]