-
-
[分享]分享某次简单的服务器入侵溯源思路
-
发表于:
2019-1-16 18:02
13527
-
今天一起看看一些简单的入侵溯源是怎么做的,帮助大家进一步了解这方面的内容,建立兴趣。
一般来说,对于普通用户,溯源的目的更多的是清理已经植入服务器的各种病毒,找到入侵源头,也就是黑客是通过什么漏洞入侵服务器,而这次要讲的溯源经历就是一起服务器被入侵挖矿溯源的经历,正好贴合这次分享的内容。
故事的开始是这样的...
在某一个天和日丽的晚上,抱歉,晚上没有太阳。在某个夜黑风高的晚上,我准备把最近写的用来爬取美丽小姐姐照片的爬虫部署到服务器上,结果登录到服务器上的时候,发现操作有点卡,很明显的感觉到服务器的异常,而昨天还没有这样的情况,好在安全技能没白学,第一时间意识到服务器被入侵了,先看看服务器的进程情况,输入Top命令,再按大写的P,根据CPU利用率来看看进程:
可以看到一个很明显的CPU利用率接近100%的进程,而看进程名也不是我们自己启动的进程,基本是一个可疑进程。
进一步查看端口连接信息
可以看到1758,也是对应的刚才看到的那个pscf的异常进程连接了一个158.69.133.20:3333。
这个IP明显不是咱们自己的IP,到https://www.ipip.net/ip.html查询下地理位置:
这是一个国外IP,一般来说我们自己是熟悉自己服务器情况,我自己服务器上没有连接国外IP的情况,基本确定这个进程是有问题的,进一步到威胁情报平台查询下这个IP的威胁情报信息https://x.threatbook.cn/ip/158.69.133.20:
是一个矿池地址,加上CPU利用率接近100%的情况,咱们可以确定服务器被入侵并被植入了挖矿程序。那么刚才那个异常进程,其实就是一个挖矿进程。
现在要做的是找到入侵漏洞和清理病毒,首先要找到文件位置,kill进程。
根据进程pid 1758直接ls -lh /proc/1758查看该进程的具体信息:
可以看到进程的exe指向的文件在/var/tmp目录下,然后我们先kill -9 1758杀死进程,避免进程占用CPU资源导致我们相关操作有点慢。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
最后于 2020-1-31 12:19
被kanxue编辑
,原因: