正准备出发去公司的路上,收到老大发来的腾讯云告警信息:有服务器,被暴力破解成功,这等于拿下服务器控制权呀。
来到公司后,开始一顿操作猛如虎,查 历史命令,进程,网络状态,服务,最近三天修改的文件,结果没发现异常,还怀疑是不是攻击者删除日志。
后来老大问我攻击者具体登录时间,于是我打开下载的secure日志,定位登录时间:05:13:59
突然想到可以查查断开登录的时间,这。。。
断开登录时间为:05:14连接就保持了一秒,登录成功后也有很多登录失败的记录,直到登录错误次数达最大限度,很明显这是晚上开着爆破跑,自己去休息了。
如果我一开始就排查登录成功后保持连接的时间,就不用花时间分析:计划任务,历史命令,修改的文件了。经验不足呀。
排查笔记
- 查登录日志 :/var/log/secure 日志, Accepted success代表登录成功,session closed 代表断开连接
- 查定时计划:
crontab -l
- 查cpu 是否正常
top
- 河马全盘扫描 下载地址:https://www.shellpub.com/