安全矩阵

 找回密码
 立即注册
搜索
查看: 7746|回复: 0

记一次应急响应

[复制链接]

991

主题

1063

帖子

4315

积分

论坛元老

Rank: 8Rank: 8

积分
4315
发表于 2021-1-21 21:07:52 | 显示全部楼层 |阅读模式
原文链接:记一次应急响应


0x00:前言



    在某次摸鱼划水等下班的时候,突然接到一个甲方爸爸的紧急通知,一台Linux的CPU突然飙升,一直下不来.重启后还是一样的问题.简单询问后.开始了应急响应工作.
    (重点:应急响应要先备份日志




0x01:排查


一、首先查看一下云平台的告警情况











好家伙
我直呼
好家伙!!!














发现起因是docker API的一个命令执行漏洞引起的


这里先采用平台自带的查杀工具先查杀一下








都把权限维持了这么好
看来是老手了





进一步的进行基线自动化检查



发现了docker 问题,另外还发现其他问题.


二.主机排查


1.计划任务排查





发现异常,百度走起








确认挖矿病毒,先删除计划任务


2.文件异常排查





发现一堆符合上面的挖矿病毒的文件,反手一波 rm -rf 文件
(能瞬间让你升职加薪的那个命令)





3.启动项排查





暂时没看到异常


4.端口排查





发现歪果仁的IP地址





5.docker排查





嗯?
发现一堆JD脚本本来想删除
问了一下客户
是他们自己的脚本
很皮





不过甲方爸爸
我依然爱你





客户说只是在用一个docker镜像
这里是三个
看下文件








呦西
又找到一个点
我这里把所有的可疑镜像给删除了


6.历史命令排查





发现对有人对计划任务进行一顿操作
百度了一下名称





好家伙
又是一个挖矿病毒
又反手一个删除处理


7.进程查看





发现bash占用大量的CPU
这里选择kill -9 23699
干掉它
干掉






8.针对docker api未授权修复





先限制一下端口不对外的问题
也可以采用限制白名单的访问模式
第三个方案是
使用TLS


9.更改服务器登陆模式


禁用账户密码的登陆,采用公钥登陆模式
  1. <font size="3"># vi /etc/ssh/sshd_config
  2. PasswordAuthentication no //禁止使用基于口令认证的方式登陆
  3. PubkeyAuthentication yes //允许使用基于密钥认证的方式登陆
  4. # /etc/init.d/sshd reload</font>
复制代码



10.日志查看





日志残了?
说好的我要备份日志的
没了





11.收尾
发现一个脚本文件





这..一顿瞎操作下来
服务器就...





    针对服务器系统被搞残的情况下,我在了解详细客户的文件情况下,跟客户对接后.对文件进行备份后,将服务器重装了.






0x02:总结


        1、在重装系统后,还是采用了公钥的等,端口不对外.docker采用TLS、白名单的访问.
        2、在应急响应的时候,需要细心的发现每个进程,每个外链IP.才能从中的发现问题.
        3、在跟甲方爸爸对接细节的时候需要很细心,不然甲方爸爸很容易忘事.你懂的.






































回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 15:47 , Processed in 0.013573 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表