Panabit Support Board!

 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 4194|回复: 2

记一次内网服务器中毒的排查与解决

[复制链接]
发表于 2022-5-25 18:15:06 | 显示全部楼层 |阅读模式
本帖最后由 不要再打了 于 2022-5-25 18:18 编辑

本文转载自我的知乎专栏:https://zhuanlan.zhihu.com/p/519712144

现象
某日摸鱼时发现上网特别慢,网页加载半天才出来,问了旁边的同事,也是一样的现象。
1.jpg
小公司,非常简单的网络结构

排查
用PC长ping 114.114.114.114,看上去没啥异常的,奇了怪了。
2.jpg
登录到网关上去看,好家伙,某台服务器的连接数直接干到了10多万……
3.jpg
192.168.100.250是办公室里一台服务器,为方便调试对外映射了SSH

看这样子,服务器八成是中毒了。再查看它的详细会话,全是向外的22端口扫描。
4.jpg
这就是传说中的肉鸡么…

当务之急,是先做一条策略,把这台服务器向外网22端口的扫描流量给阻断掉。
5.png
向外扫描的流量都有这么大

这种情况,应该是服务器里被安装了恶意的程序,然后一直向外发起连接。我们登到服务器后台看看。
6.jpg
ps -aux查看后台进程

长长的一溜全是这个/sbin/apcid,最早从5月15号就开始运行,恶意程序估计就是它了。
7.jpg
创建时间确实是5月15日,就是它了

直接执行killall -9 apcid关掉进程,然后删除这个程序,再到网关上去看看。
8.jpg
回到了正常的1000多,搞定

搞定之后,网络恢复了正常。但我还是想去回溯一下,当时到底发生了什么。因为服务器向外映射了SSH,攻击者应该就是通过SSH登录后放置了恶意程序。因为恶意程序的创建时间是15日16时左右,所以我们回看一下15日下午,有哪些地址访问了我们服务器的22端口(目标为192.168.100.250:22)。
9.jpg
其中框里的两个会话明显十分可疑:
  • 源地址109.237.14.103位置是俄罗斯的
  • 连接时间很长,并且流量也很大
  • 上行流量明显大于下行,极大可能是在往服务器中上传东西
  • 第二个会话时间是16:02,与恶意程序的创建时间基本吻合


反过来查服务器向外的请求,源为服务器(192.168.100.150),目标22端口的数据:
10.jpg
注意时间,从15日16:04开始发起了大量扫描请求
11.jpg
服务器后台查看登录历史,也印证了上面记录的数据


总结
所以到此为止,整个事件完整的脉络已经梳理出来了:
  • 境外的攻击者109.237.14.103通过SSH登录了我们内网的服务器192.168.100.250(可能是密码太久没换了)
  • 成功登录后,攻击者上传了一个名为apcid的恶意软件,放在了sbin目录下并执行
  • 之后内网中的服务器192.168.100.250持续大量地向外网地址的22端口进行扫描,寻找下一个肉鸡
  • 与此同时,大量的连接数占据了网络出口,也导致摸鱼的我网络变慢了

最后还是建议大家,尽量不要把SSH端口暴露在公网,就算要放,除了密码设复杂一些外,也一定一定要定期修改密码!











 楼主| 发表于 2022-5-25 18:33:39 | 显示全部楼层
我这个就算投稿了哈
发表于 2022-5-26 11:14:27 | 显示全部楼层
不要再打了 发表于 2022-5-25 18:33
我这个就算投稿了哈

好的,感谢支持
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|北京派网软件有限公司 ( ICP备案序号:京ICP备14008283号 )

GMT+8, 2024-11-21 19:32 , Processed in 0.122344 second(s), 18 queries .

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表