Fly_鹏程万里

1. 事件分类常见的安全事件：Web入侵：挂马、篡改、Webshell 系统入侵：系统异常、RDP爆破、SSH爆破、主机漏洞 病毒木马：远控、后门、勒索软件 信息泄漏：刷裤、数据库登录（弱口令） 网络流量：频繁发包、批量请求、DDOS攻击2. 排查思路一个常规的入侵事件后的系统排查思路：1. 文件分析a) 文件日期、新增文件、可疑/异常文件、最近使用文件、浏览...

简介攻击者通过Redis未授权访问，写入定时任务，执行挖矿程序。排查过程检查进程发现SSH后门发现异常进程PS中看到很多定时任务进程CROND，crontab -l发现又是redis写进来的，那么再看下/root/.ssh/authorized_keys，果然也写了免登陆。发现攻击者使用的脚本http://104.156.239.160:8080/conn.sh...

0x01 Web服务一般如果网络边界做好控制，通常对外开放的仅是Web服务，那么需要先找到Webshell，可以通过如下途径：1）检查最近创建的php、jsp文件和上传目录例如要查找24小时内被修改的JSP文件：find ./ -mtime 0 -name "*.jsp"2）使用Webshell查杀工具Windows下D盾等，Linux下河马等。3）与测试环境目录做对...

0x00 前言​ 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时，急需第一时间进行处理，使企业的网络信息系统在最短时间内恢复正常工作，进一步查找入侵来源，还原入侵事故过程，同时给出解决方案与防范措施，为企业挽回或减少经济损失。针对常见的攻击事件，结合工作中应急响应事件分析和解决的方法，总结了一些Linux服务器入侵排查的思路。0x01 入侵排查思路一、账号安全基...

0x00 前言​SSH 是目前较可靠，专为远程登录会话和其他网络服务提供安全性的协议，主要用于给远程登录会话数据进行加密，保证数据传输的安全。SSH口令长度太短或者复杂度不够，如仅包含数字，或仅包含字母等，容易被攻击者破解，一旦被攻击者获取，可用来直接登录系统，控制服务器所有权限。0x01 应急场景​ 某天，网站管理员登录服务器进行巡检时，发现端口连接里存在两条可疑的连接记录，如下图：...

0x00 前言​短连接（short connnection）是相对于长连接而言的概念，指的是在数据传送过程中，只在需要发送数据时，才去建立一个连接，数据发送完成后，则断开此连接，即每次连接只完成一项业务的发送。 在系统维护中，一般很难去察觉，需要借助网络安全设备或者抓包分析，才能够去发现。0x01 应急场景​某天，网络管理员在出口WAF检测到某台服务器不断向香港I发起请求 ，感觉很奇怪...

0x00 前言​ Linux盖茨木马是一类有着丰富历史，隐藏手法巧妙，网络攻击行为显著的DDoS木马，主要恶意特点是具备了后门程序，DDoS攻击的能力，并且会替换常用的系统文件进行伪装。木马得名于其在变量函数的命名中，大量使用Gates这个单词。分析和清除盖茨木马的过程，可以发现有很多值得去学习和借鉴的地方。0x01 应急场景​ 某天，网站管理员发现服务器CPU资源异常，几个异常进程占...

背景一哥们反应自己的测试机器总是关机，联系云主机客服得知服务器总是大量发包，导致技术关停该机器。排查过程Last查看登录记录查找到一个可疑IP[root@i-9kp9tipm dpkgd]# grep "1.180.212.21" /var/log/secure*/var/log/secure-20170409:Apr 4 22:20:43 i-9kp9tipm ss...

0x01 背景2017.3.27中午运维反应怀疑zabbix所在服务器被入侵。0x02 排查过程ps查看进程，发现端口反弹行为查看进程启动时间发现为Feb 27，启动账户为Root。查看/sbin /usr/bin /usr/sbin /bin发现sshd Mtime为Feb 27,可以确认此时的SSH已经被植入后门，一般的SSH后门比较容易发现，功能如下：1）如果...

0×0 背景随着主机安全的问题日渐突显，挖矿勒索后门等病毒隐蔽手法越来越多种多样，仅仅依靠传统的安全工具不能完全查杀出相关恶意程序。安全事件具有突发性，复杂性与专业性，基于windows的一些运行机制人工排查安全事件需要从多个方面去检查与清除，抛砖引玉提出以下思路供参考。0×1 检查思路恶意程序本身有网络行为，内存必然有其二进制代码，它要么是进程的 DLL /如此模块，通常为了保活，它...

中毒现象：内到外的流量大，打DDOS入侵方式：通过SSH暴力破解病毒分析：木马病毒在top里面表现为随机的10位字母的进程，看/proc里面的信息，则为ls，cd之类常见的命令。杀死该进程后，会再随机产生一个新的进程，删除这些木马文件后，会再重新生成新的木马文件。由此可以判断，木马病毒会自动修复，多个进程之间会互相保护，一旦删除和被杀，立即重新启动和复制。首先注意到/tmp/.zl文件[...

0x01 排查过程异常进程发现：/usr/bin/.sshd[kworker95]在开机启动中发现：/tmp下的异常文件异常的网络连接使用lsof的时候发现返回内容不正常，查看下lsofmtime为10:46，并且大小不正常，很明显命令被替换了。看下/usr/bin/下/use/sbin下然后检查了cron、rc3等没有发现异常。0...

0x01 排查过程11:10看到主机监控告警，告警内容为cd "/usr/local/web/cdksw/general-tomcat-6.0.18/webapps/background/background/upload/";ver;echo [S];pwd;echo [E]看内容就是菜刀马执行，看目录发现是upload可以猜测是文件上传的问题。受影响的是两台负载的机器，其中一台报...

背景春节刚过，黑产团队就开始了新的一年的工作。21日晚上九点多，正准备回家享受快乐时光呢，钉钉就响了，客户应急来了，8台机器感染挖矿木马病毒。挖矿病毒这两年也处理了不少了，但是这次的应急受益匪浅，值得记录一下。事件处理过程0x01 传播途径此次事件从网上收集了下，途径不止有被通报的Redis，Jenkins RCE 漏洞 Nexus RCE 漏洞 Redis未授权访问or弱...