首页
社区
课程
招聘
[分享]分享某次简单的服务器入侵溯源思路
发表于: 2019-1-16 18:02 13598

[分享]分享某次简单的服务器入侵溯源思路

2019-1-16 18:02
13598

今天一起看看一些简单的入侵溯源是怎么做的,帮助大家进一步了解这方面的内容,建立兴趣。


 


一般来说,对于普通用户,溯源的目的更多的是清理已经植入服务器的各种病毒,找到入侵源头,也就是黑客是通过什么漏洞入侵服务器,而这次要讲的溯源经历就是一起服务器被入侵挖矿溯源的经历,正好贴合这次分享的内容。


故事的开始是这样的...

在某一个天和日丽的晚上,抱歉,晚上没有太阳。在某个夜黑风高的晚上,我准备把最近写的用来爬取美丽小姐姐照片的爬虫部署到服务器上,结果登录到服务器上的时候,发现操作有点卡,很明显的感觉到服务器的异常,而昨天还没有这样的情况,好在安全技能没白学,第一时间意识到服务器被入侵了,先看看服务器的进程情况,输入Top命令,再按大写的P,根据CPU利用率来看看进程:



可以看到一个很明显的CPU利用率接近100%的进程,而看进程名也不是我们自己启动的进程,基本是一个可疑进程。



进一步查看端口连接信息


可以看到1758,也是对应的刚才看到的那个pscf的异常进程连接了一个158.69.133.20:3333。


这个IP明显不是咱们自己的IP,到https://www.ipip.net/ip.html查询下地理位置:



这是一个国外IP,一般来说我们自己是熟悉自己服务器情况,我自己服务器上没有连接国外IP的情况,基本确定这个进程是有问题的,进一步到威胁情报平台查询下这个IP的威胁情报信息https://x.threatbook.cn/ip/158.69.133.20:



是一个矿池地址,加上CPU利用率接近100%的情况,咱们可以确定服务器被入侵并被植入了挖矿程序。那么刚才那个异常进程,其实就是一个挖矿进程。


现在要做的是找到入侵漏洞和清理病毒,首先要找到文件位置,kill进程。

根据进程pid 1758直接ls -lh /proc/1758查看该进程的具体信息:



可以看到进程的exe指向的文件在/var/tmp目录下,然后我们先kill -9 1758杀死进程,避免进程占用CPU资源导致我们相关操作有点慢。



[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2020-1-31 12:19 被kanxue编辑 ,原因:
收藏
免费 3
支持
分享
最新回复 (15)
雪    币: 1923
活跃值: (222)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
mark
2019-1-17 09:09
0
雪    币: 9217
活跃值: (1886)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
3
前几个图太小,看不清是真的难受
2019-1-17 10:07
0
雪    币: 85
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
这个还好,日志history都没清理。。我之前也有朋友的机器也是类似的情况,100%CPU占用,不过top,ps都看不到出问题的进程。。后来用perf找到了,一查crontab也有东西。。。其实从crontab入手比较好查,一般都会留下定时任务
2019-1-17 16:38
0
雪    币: 1904
活跃值: (48)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
学习了
2019-1-17 21:20
0
雪    币: 351
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
受教
2019-1-24 17:56
0
雪    币: 210
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
7
原创加我一下QQ386627648  谢谢 有事情
2019-6-9 09:27
0
雪    币: 23
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
8
学习了,谢谢
2019-6-19 22:44
0
雪    币: 227
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
我更感兴趣的是,分析怎么被入侵的。
2019-6-24 20:26
0
雪    币: 1634
活跃值: (480)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
学习一下,感谢分享
2020-9-14 14:01
0
雪    币: 0
活跃值: (268)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
个人认为,不仅应该分析出来从哪里入侵的,更重要的找到入侵背后的始作俑者,这样才好。
2020-9-18 17:11
0
雪    币: 933
活跃值: (381)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
学到了,谢谢分享
2022-9-5 09:51
0
雪    币: 34
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
14
大佬条理清晰,看得很明白,但是这应该称作入侵清查吧,还不是溯源,溯源是要溯到人吧
2023-11-22 14:28
1
雪    币: 2989
活跃值: (2605)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
学习了,谢谢
2023-12-7 09:31
0
雪    币: 8
活跃值: (86)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
很清晰,很好。,
2024-9-13 10:32
0
游客
登录 | 注册 方可回帖
返回
//