前言

SSH是目前比较可靠的,专门为远程登录和会话其他网络服务提供安全性协议,主要用于给远程登录会话密码进行加密,保证数据传输安全,SSH口令长度太短或者复杂度不高,都会容易被破解,一旦攻击者获取,可用来直接登录系统,控制服务器所有权限。

1.应急场景

网站管理员登录服务器进行检查时,发现端口连接李存在两条可疑的连接记录。
1.TCP初始化连接三次握手:发SYN包,然后返回SYN/ACK包,连接正式建立,但是这里有点出入,当请求者收到SYN/ACK包后,就开始建立连接了,而被请求者第三次握手结束后才建立连接。
2.客户端TCP状态迁移

CLOSED->SYN_SENT->ESTABLISHED->FIN_WAIT_1->FIN_WAIT_2->TIME_WAIT->CLOSED

服务器TCP状态迁移

​CLOSED->LISTEN->SYN recv->ESTABLISHED->CLOSE_WAIT->LAST_ACK->CLOSED

3.当客户端开始连接时,服务器还处于LISTENING,客户端发一个SYN包后,服务器接收到了客户端的SYN并且发送了ACK时,服务器处于SYN_RECV状态。

在这里,SSH(22)端口,两条外网IP的SYN_RECV状态连接,这里就肯定有一次。

2.日志分析

SSH端异常,首先要先来了解一下系统账号的情

(1)系统账号情况
除了root之外,是否还有其他特权用户(uid为0)

[root@localhost ~]# awk -F: '$3==0{print $1}' /etc/passwd

[root@localhost ~]# awk '/\$1|\$6/{print $1}' /etc/shadow

root:$6$38cKfZDjsTiUe58V$FP.UHWMObqeUQS1Z2KRj/4EEcOPi.6d1Xm
KHgK3j3GY9EGvwwBei7nUbbqJC./qK12HN8jFuXOfEYIKLID6hq0::0:99999:7:::

使用下面命令:

wmic process get caption,commandline /value
如果想查询某一个进程的命令行参数,使用下列方式:
wmic process where caption="svshot.exe" get caption,commandline /value

Temp目录下发现Carbon、run.bat挖矿程序:
清除挖矿病毒:关闭异常进程、删除c盘temp目录下挖矿程序 。

临时防护方案

根据实际环境路径,删除WebLogic程序下列war包及目录

rm -f /home/WebLogic/Oracle/Middleware/wlserver_10.3/server/lib/wls-wsat.war

rm -f /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/.internal/wls-wsat.war

rm -rf /home/WebLogic/Oracle/Middleware/user_projects/domains/base_domain/servers/AdminServer/tmp/_WL_internal/wls-wsat

重启WebLogic或系统后,确认以下链接访问是否为404

http://x.x.x.x:7001/wls-wsat

防范措施

​ 新的挖矿攻击展现出了类似蠕虫的行为,并结合了高级攻击技术,以增加对目标服务器感染的成功率。通过利用永恒之蓝(EternalBlue)、web攻击多种漏洞,如Tomcat弱口令攻击、Weblogic WLS组件漏洞、Jboss反序列化漏洞,Struts2远程命令执行等,导致大量服务器被感染挖矿程序的现象 。总结了几种预防措施:

1.安装安全软件并升级病毒库,定期全盘扫描,保持实时防护

2.及时更新 Windows安全补丁,开启防火墙临时关闭端口

最后修改:2022 年 03 月 15 日 09 : 46 PM
如果觉得这篇文章不错,不妨赏我碎银几两。