admin管理员组文章数量:1794759
应急实战(10):Linux后门帐号
1. Prepare
1.1 部署安全设备
部署主机安全产品:牧云HIDS
2. Detect
2.1 设备产生告警
2024-10-12 01:40:42,牧云产生告警,服务器执行了可疑命令:
useradd guest -o -u 0 -g 0 -c guest -m -d /home/guest -s /bin/bash -p 1EwkP89RH
登录牧云,看到源IP地址是法国的217.128.86.8
牧云没有该IP的其他告警
境外IP创建系统帐号,基本可确认是真实攻击,需启动应急
3. Contain
无异常网络连接需要遏制
无异常进程需要遏制
4. Eradicate
4.1 删除后门帐号
删除后门帐号:userdel -r guest
产生报错:user guest is currently used by process 1
因为guest帐号的uid和gid是0,所以被1号进程使用很正常
正打算按照.html的方法处理,结果guest帐号不知怎么就自己没了
4.2 加固弱口令帐号
查看帐号登录情况,发现陕西IP地址106.36.198.78也登录过,整理如下:
1、Oct 12 01:01:29:陕西IP登录root帐号失败1次
2、Oct 12 01:09:50:陕西IP登录root帐号成功1次
3、Oct 12 01:39:59:法国IP登录root帐号成功1次
4、Oct 13 21:41:42:陕西IP登录root帐号失败2次
由此可猜测,可能是陕西IP爆破出root帐号的弱口令后提供给法国IP,当然也可能是法国IP自己一次就猜中了root帐号的弱口令。
修改root帐号的弱口令
5. Recover
5.1 恢复帐号登录
基于/etc/shadow的ctime,识别到/etc/ssh/sshd_config也被攻击者篡改过
查看/etc/ssh/sshd_config,发现root用户被攻击者设置为禁止登录:DenyUsers root
看来攻击者是怕煮熟的鸭子飞了,顺手帮我加固了弱口令帐号。
删掉该配置项,就能恢复root帐号登录
6. Follow-Up
6.1 修改登录端口 暴力破解告警实在太多,不胜其扰
将ssh端口改掉即可
/etc/ssh/sshd_config:Port 22222
systemctl restart sshd
6.2 开启命令记录
为有效监控攻击者执行的命令,开启全量命令记录功能
本文标签: 应急实战(10)Linux后门帐号
版权声明:本文标题:应急实战(10):Linux后门帐号 内容由林淑君副主任自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.xiehuijuan.com/baike/1754850848a1707305.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论