目录
- 概述
- 研判分析
- 登录成功
- 登录失败
- 历史命令
- authorized_keys
- 定损止损
- 攻击链路还原
- 清理恢复
- 总结复盘
- 参考
概述
爆破漏洞是比较常见漏洞,端口开放,管理后台没有做登录频率限制等情况都可能遭受到爆破攻击,本文以SSH爆破为例,介绍下应急响应流程。
研判分析
8月23日00时13分收到告警,主机VM-0-16-centos被爆破成功
根据告警,可以知道是SSH爆破,源ip是172.19.0.3。
登录成功
不同操作系统日志位置不同
- RHEL(例如,centos):/var/log/secure
- Debian(例如,ubuntu): /var/log/auth.log
通过日志查询
cat /var/log/secure |grep 172.19.0.3|grep "Accepted password"|awk '{print $11}'|sort -nr |uniq -c|sort -nr
通过命令查询
last | grep 172.19.0.3
登录失败
查看登录失败日志
cat /var/log/secure |grep 172.19.0.3|grep "Failed"
统计登录失败次数
cat /var/log/secure |grep 172.19.0.3|grep "Failed"| wc -l
历史命令
查看攻击时间段内的记录
authorized_keys
cat ~/.ssh/authorized_keys
发现新增公钥
定损止损
查看日志,发现新增公钥操作,无其他异常,仅告警机器有影响。止损时可以先断开源ip的网络,例如云服务器的安全组或者使用iptables。
攻击链路还原
登录攻击机器排查,由于进程已销毁,搜索相关恶意文件。
locate brute
可以看到可能是执行了ssh_brute.py
清理恢复
删除authorized_keys文件中多余的公钥即可。172.19.0.3机器不清楚攻击入口的话可以重启或重装操作系统。
总结复盘
8月23日00时13分收到SSH爆破成功告警,ip为172.19.0.16的机器被攻击,来源ip是172.19.0.3,经研判分析,攻击者从8月23日00时06分开始发起攻击,失败115次,成功2次,成功后修改了authorized_keys文件,已还原。来源机器为业务测试机器,未找到攻击入口,重装了操作系统。MTTD 7分钟,MTTC 20分钟。
参考
主机安全-网络攻击监测
应急响应-主机安全之网络相关命令(Linux操作系统)
应急响应-应急响应流程(各个阶段与实战)
应急响应-主机安全之系统及进程排查相关命令(Linux操作系统-初级篇)