应急响应-爆破漏洞应急响应流程(以SSH爆破为例)

目录


概述

爆破漏洞是比较常见漏洞,端口开放,管理后台没有做登录频率限制等情况都可能遭受到爆破攻击,本文以SSH爆破为例,介绍下应急响应流程。

研判分析

8月23日00时13分收到告警,主机VM-0-16-centos被爆破成功

根据告警,可以知道是SSH爆破,源ip是172.19.0.3。

登录成功

不同操作系统日志位置不同

  • RHEL(例如,centos):/var/log/secure
  • Debian(例如,ubuntu): /var/log/auth.log

通过日志查询

bash 复制代码
cat /var/log/secure |grep 172.19.0.3|grep "Accepted password"|awk '{print $11}'|sort -nr |uniq -c|sort -nr

通过命令查询

bash 复制代码
last | grep 172.19.0.3

登录失败

查看登录失败日志

bash 复制代码
cat /var/log/secure |grep 172.19.0.3|grep "Failed"

统计登录失败次数

bash 复制代码
cat /var/log/secure |grep 172.19.0.3|grep "Failed"| wc -l

历史命令

查看攻击时间段内的记录

authorized_keys

bash 复制代码
cat ~/.ssh/authorized_keys

发现新增公钥

定损止损

查看日志,发现新增公钥操作,无其他异常,仅告警机器有影响。止损时可以先断开源ip的网络,例如云服务器的安全组或者使用iptables。

攻击链路还原

登录攻击机器排查,由于进程已销毁,搜索相关恶意文件。

bash 复制代码
locate brute

可以看到可能是执行了ssh_brute.py

清理恢复

删除authorized_keys文件中多余的公钥即可。172.19.0.3机器不清楚攻击入口的话可以重启或重装操作系统。

总结复盘

8月23日00时13分收到SSH爆破成功告警,ip为172.19.0.16的机器被攻击,来源ip是172.19.0.3,经研判分析,攻击者从8月23日00时06分开始发起攻击,失败115次,成功2次,成功后修改了authorized_keys文件,已还原。来源机器为业务测试机器,未找到攻击入口,重装了操作系统。MTTD 7分钟,MTTC 20分钟。

参考

主机安全-网络攻击监测
应急响应-主机安全之网络相关命令(Linux操作系统)
应急响应-应急响应流程(各个阶段与实战)
应急响应-主机安全之系统及进程排查相关命令(Linux操作系统-初级篇)

相关推荐
萨格拉斯救世主21 分钟前
戴尔R930服务器增加 Intel X710-DA2双万兆光口含模块
运维·服务器
Jtti24 分钟前
Windows系统服务器怎么设置远程连接?详细步骤
运维·服务器·windows
yeyuningzi38 分钟前
Debian 12环境里部署nginx步骤记录
linux·运维·服务器
EasyCVR1 小时前
萤石设备视频接入平台EasyCVR多品牌摄像机视频平台海康ehome平台(ISUP)接入EasyCVR不在线如何排查?
运维·服务器·网络·人工智能·ffmpeg·音视频
wowocpp2 小时前
ubuntu 22.04 硬件配置 查看 显卡
linux·运维·ubuntu
萨格拉斯救世主3 小时前
jenkins使用slave节点进行node打包报错问题处理
运维·jenkins
川石课堂软件测试3 小时前
性能测试|docker容器下搭建JMeter+Grafana+Influxdb监控可视化平台
运维·javascript·深度学习·jmeter·docker·容器·grafana
pk_xz1234565 小时前
Shell 脚本中变量和字符串的入门介绍
linux·运维·服务器
小珑也要变强5 小时前
Linux之sed命令详解
linux·运维·服务器
Lary_Rock7 小时前
RK3576 LINUX RKNN SDK 测试
linux·运维·服务器