一、事件分析
客户反馈异地登录如图:
检测用户异常登录成功历史如图:
发现异常登录IP如下():
47.92.66.145
86.121.142.213
109.100.108.78
检测日志ip地址为47.92.66.145尝试暴力破解如图:
IP地址:109.100.108.78尝试登录服务器112.74.48.228如图
IP地址:86.121.142.213尝试登录服务器112.74.48.228如图
查看服务器112.74.48.228用户为mongo历史命令记录如图:
分析历史命令记录可以看出异地登录用户mongo尝试下载文件Nasa.zip,Ln.zip,China.zip文件,成功下载Nasa.zip后并解压此文件执行Nasa目录下名字为n的文件。文件创建时间如图:
二、恶意文件分析
此次从服务器112.74.48.228发现恶意文件如下:
文件名名:Nasa.zip
文件md5:5229b4a5a43d473575084e3d1a6510b0
压缩文件Nasa.zip如图:
文件名名:China.zip
文件md5:87dbee32041a3c62fa6ed49a214a655d
压缩文件China.zip如图:
文件名名:Ln.zip
文件md5:5229b4a5a43d473575084e3d1a6510b0
压缩文件Ln.zip如图:
综合以上压缩文件Ln.zip,China.zip,Nasa.zip发现如下主要恶意文件如下:
文件名:pscan2
md5: f51b8ed30a87c1dc02044c16f2cd0fa7
程序功能:端口扫描程序
程序功能检测如图:
文件名:sshd
md5: df60a14ec58135664504d9dd4fa76ba4
文件功能:ssh密码暴力破解程序
程序功能检测如图:
文件名:screen
md5: cbf0f41bbbafb1c2609bedb943be3b36
文件功能:多重视窗管理程序(linux常用程序)
程序功能检测如图:
文件名:da
md5: f51b8ed30a87c1dc02044c16f2cd0fa7
程序功能:端口扫描程序
程序功能检测如图:
文件名:1
md5: 346f6d207bdaa40a492622d8e4f4e580
程序功能:字典文件
程序功能检测如图:
文件名:Desktop.ini
md5: 4cfa803ab61abbf4447ceff817ca8fe8
程序功能:临时文件
程序功能检测如图:
文件名:n
md5: bded08fdfa92873fc462cf14a90166bf
程序功能:shell脚本程序“n”调用端口扫描程序“pscan2”文件对存在22端口的IP段进行扫描成功的IP保存到“scan.log”文件,扫描完成延时3秒后使用ssh暴力破解程序“sshd”文件调用成功扫描到的ip文件“scan.log”使用字典文件“1”进行暴力破解
程序功能检测如图:
三、总结建议
事件总结:
攻击ip为47.92.66.145主机对主机ip为112.74.48.228主机的ssh暴力破解,破解用户“mongo”密码成功后,IP为86.121.142.213,109.100.108.78的攻击者登录服务器,尝试下载文件Nasa.zip,Ln.zip,China.zip文件,成功下载“Nasa.zip”后并解压此文件执行“Nasa”目录下名字为“n”的文件。(注:“n”文件具体功能详见恶意文件分析篇)
加固建议:
1.加强用户口令,建议开启密码策略。
2.建议每过一段时间对服务器的口令进行更换。
3.限制敏感端口对外网端口。