记一次内网服务器中毒的排查与解决

不要再打了

本文转载自我的知乎专栏：https://zhuanlan.zhihu.com/p/519712144

现象

某日摸鱼时发现上网特别慢，网页加载半天才出来，问了旁边的同事，也是一样的现象。

小公司，非常简单的网络结构

排查

用PC长ping 114.114.114.114，看上去没啥异常的，奇了怪了。

登录到网关上去看，好家伙，某台服务器的连接数直接干到了10多万……

192.168.100.250是办公室里一台服务器，为方便调试对外映射了SSH

看这样子，服务器八成是中毒了。再查看它的详细会话，全是向外的22端口扫描。

这就是传说中的肉鸡么…

当务之急，是先做一条策略，把这台服务器向外网22端口的扫描流量给阻断掉。

向外扫描的流量都有这么大

这种情况，应该是服务器里被安装了恶意的程序，然后一直向外发起连接。我们登到服务器后台看看。

ps -aux查看后台进程

长长的一溜全是这个/sbin/apcid，最早从5月15号就开始运行，恶意程序估计就是它了。

创建时间确实是5月15日，就是它了

直接执行killall -9 apcid关掉进程，然后删除这个程序，再到网关上去看看。

回到了正常的1000多，搞定

搞定之后，网络恢复了正常。但我还是想去回溯一下，当时到底发生了什么。因为服务器向外映射了SSH，攻击者应该就是通过SSH登录后放置了恶意程序。因为恶意程序的创建时间是15日16时左右，所以我们回看一下15日下午，有哪些地址访问了我们服务器的22端口（目标为192.168.100.250:22）。

其中框里的两个会话明显十分可疑：

• 源地址109.237.14.103位置是俄罗斯的
• 连接时间很长，并且流量也很大
• 上行流量明显大于下行，极大可能是在往服务器中上传东西
• 第二个会话时间是16:02，与恶意程序的创建时间基本吻合
  
  

反过来查服务器向外的请求，源为服务器（192.168.100.150），目标22端口的数据：

注意时间，从15日16:04开始发起了大量扫描请求

服务器后台查看登录历史，也印证了上面记录的数据


总结

所以到此为止，整个事件完整的脉络已经梳理出来了：

• 境外的攻击者109.237.14.103通过SSH登录了我们内网的服务器192.168.100.250（可能是密码太久没换了）
• 成功登录后，攻击者上传了一个名为apcid的恶意软件，放在了sbin目录下并执行
• 之后内网中的服务器192.168.100.250持续大量地向外网地址的22端口进行扫描，寻找下一个肉鸡
• 与此同时，大量的连接数占据了网络出口，也导致摸鱼的我网络变慢了
  
  

最后还是建议大家，尽量不要把SSH端口暴露在公网，就算要放，除了密码设复杂一些外，也一定一定要定期修改密码！

不要再打了

我这个就算投稿了哈

失控小歪

不要再打了 发表于 2022-5-25 18:33
我这个就算投稿了哈

好的，感谢支持