记一次服务器被入侵的调查取证

0×1 事件描述

小Z所在公司的信息安全建设还处于初期阶段,而且只有小Z新来的一个信息安全工程师,所以常常会碰到一些疑难问题。一天,小Z接到运维同事的反映,一台tomcat 的web服务器虽然安装了杀软,但是还是三天两头会出现杀软病毒报警,希望他能查下原因。

小Z首先设想了三种可能性:

1.存在系统漏洞

2.由于前期运维在服务器上装了一些工具软件,会不会工具软件引入的病毒

3.应用层漏洞。

于是,他从这三方面开始了调查。

首先,小Z用更新库的漏扫对系统层面的漏洞检测,未发现任何异常;由于会有开发连接进这台服务器,他去开发那里收集工具软件进行查毒处理,也没发现异常,排除通过软件带入病毒的可能;那难道是通过应用层漏洞进来的?因为系统上线前都会经过web渗透测试,文件上传,SQL注入等常规漏洞已经修复,虽然这样,小Z还是重新验证了一遍漏洞,没有问题,又用D盾webshell检测工具进行了扫面,未发现任何webshell。

那病毒是怎么产生的?

0×2 溯源准备

由于病毒无法清干净,也不清楚黑客是已经在机器上做了哪些手脚,业务方要求小Z重新搭建一个干净的环境,给系统打好最新的补丁,交给开发重新放入生产。由于前期没有在主机端做日志收集类工具,缺乏主机端的攻击溯源手段,小Z临时搭建了splunk日志分析系统,并在新搭建的服务器上安装了sysmon日志收集工具,对主机层面进行了日志收集。过了一星期左右,小Z发现系统进程里面居然多了个叫wcmoye的进程,凭感觉这不是个正常程序,那就先从这个程序开始入手调查吧。

0×3 常规排查

常规排查还是采用了微软经典系统工具systeminternals套件,分别对启动项,系统进程,网络连接等简单做了排查。

启动项除了services这一项发现了一个奇怪的StuvwxAbcdefg Jkl,其他没有特别值得注意的地方。

进程排查就是那个叫wcmoye.exe的进程

进程依赖于StuvwxAbcdefgh Jkl这个服务

网络通信:用tcpview观察wcmoye.exe会不定时连接一公网ip的9999端口

同时会有一些注册表及文件系统上的行为,确定wcmoye躲在C:\windows\syswow64目录下

初步排查得出的结论是:wcmoye进程依赖于名叫Stuvwx Abcdefg Jkl系统服务,去syn链接公网ip的9999端口,是个木马程序。

在对wcmoye有了一定认识之后,小Z想它是从哪里来的,这时,小Z之前搭建的日志分析系统派上了用场。

0×4 日志排查

这个问题得从wcmoye.exe在系统中产生的第一时间着手调查。于是打开splunk开始搜索:通过 wcmoye关键字的搜索,发现6月6日20:24发生如下可疑事件:

20:24:11 Tomcat目录下有一个叫NewRat的可执行文件生成wcmoye.exe,原来wcmoye是有一个叫NewRat的可执行文件生成的,但是回到Tomcat目录下查看,并没有发现NewRat.exe这个文件.

不急,进一步搜索NewRat,小Z发现了更大的信息量:在wcmoye被创建的前一秒 20:24:10,tomcat7.exe去调用cmd.exe执行了一段比较长的脚本,

随着时序跟踪事件的发展,发现在20:24:12 调用cmd.exe删除了NewRat.exe

同时还观察到services.exe的执行,系统服务创建

关注sysmon的EventCode 3 ,wcmoye的进程会与下载NewRat的那个公网ip的9999端口有通信日志,

其实到这里,wcmoye是从哪里进来的已经基本搞清楚了,接下来的问题就是为什么会进来?Tomcat为什么去执行这些恶意命令?现在唯一的线索就是日志中的那个ftp登陆的ip以及账号密码了,继续吧。

0×5 顺藤摸瓜

小Z带着好奇心,继续探索过程,直接进入了这个ftp服务器!

使用FileZilla进入ftp服务器的目录,以一目十行地速度快速扫了一遍,首先蹦入小Z眼帘的就是NewRat.exe,不错,和前面的调查结果相吻合,NewRat就安静地躺在这里。

还有个独特专版st2-045 winlinux小组版文件夹,潜意识告诉小Z这个文件夹里面很可能有谜底的答案,先直接百度一下

好家伙,双系统传马还Kill国内外主流杀毒软件,关键是st2-045这个就是远程代码执行(RCE)漏洞(S2-045,CVE-2017-5638),小Z不禁一颤,之前居然没想到测试这个高危的提权漏洞。

start.bat开始看吧

有一个叫wincmd.txt的文件,是winows平台下的执行脚本,红框的内容和前面splunk日志中的那段日志一模一样,也就是帮小Z引导到这里的那段关键日志。

Linux平台的脚本:关闭防火墙,下载一个叫tatada的ELF文件,把netstat等系统命令改名,清空日志等等

Result.txt文件,记录着一些扫描到的ip的端口开放情况

Windows.txt和linux.txt里面貌似都是存在漏洞的网址。。。

而且其中有一个关键的发现,就是小Z所在公司的网站接口居然在一个叫http.txt的list里面

到这里,小Z已经大致猜得出自己的公司网站是怎么被盯上的了。再看下几个可执行文件:

S.exe就是扫描器

IDA载入str045

看得出Str045.exe就是struts2-045的利用脚本程序,他会去读取S.exe扫描出的ip及端口开放情况的文件,组合do,action等开启多线程去exploit,然后根据被攻击的系统版本,去执行相应的脚本,像小Z公司的这台web服务器是windows的,就会去执行wincmd.txt。

0×6 网络架构

目前调查到的种种迹象让小Z坚信黑客是通过struts2-45漏洞进来的!于是小Z去网上下载了一个最新的struts漏洞检查工具,直接对网站的80端口进行检测,但结果出乎意料,居然没有漏洞报警。

黑客服务器上只有针对strusts2-045的攻击脚本,但是检测又没有发现漏洞。这个矛盾的问题不禁让小Z思考更多的可能性。

在陷入迷茫的深思同时, 小Z不经意的翻看着tomcat的localhost_access_log日志,突然一批ABAB型日志出现在他眼前,一个公网地址,一个内网地址,时间就在NewRat出现的前几分钟20:20:36:

这串高度相关的日志 究竟隐藏着什么意义?会不会是解开谜团的入口?带着强烈的好奇心,小Z咨询了网络组的同事,什么情况下才会出现这样的情况,网络组给出了网站如下的网络架构,并说明了由于业务的临时需求,新对网络架构做了新的调整。

服务器的内网端口是7070,公网防火墙上开放了80,443和8090端口。公网端口8090作了NAT对应内网的7070端口,据说是因为业务新需求开放的;同时为了安全考虑,公网用户如果只访问了80后,F5会做强制443端口跳转访问F5的一个vip地址。

这种网络架构,当有人在公网扫描到80和8090端口时,就会出现ABAB型日志,即A就是通过NAT进来的,B是从vip地址过来的。所以才会出现上述奇怪日志的原因,那个时刻,是黑客服务器在扫描 80和8090端口。

0×7 水落石出

NewRat也是在那个奇怪的日志后产生的,这时一个念头闪现在小Z脑海里,还是用struts漏洞利用工具,不过这次是去尝试web的的8090端口!一串清晰的红字,警告:存在Struts远程代码执行漏洞S2-045 !

再试试443端口,也能检测出:

获取web系统内网IP信息

而且通过搜索tomcat目录找到 struts的版本为2.5.10,的确是存在S2-045漏洞的版本。

至此,这次入侵的来龙去脉,小Z已经调查清楚了。由于网站使用了struts框架 版本为2.5.10,存在struts2-045漏洞,黑客通过公网扫描找到网站,进而执行exploit把病毒程序传到服务器里面执行,不停的病毒警告是因为不断有人在公网利用漏洞入侵服务器。

0×8 题外话

但同时,小Z也注意到了另一个问题,为什么struts漏洞利用工具直接访问80端口无法检测出漏洞?

小Z于是想到了Wireshark,这个网络放大镜或许能给出点蛛丝马迹。还是抓包对比一下吧。

抓一下未检测出漏洞的80端口的包,

第一次get请求,F5返回了一个https的302重定向后,由于connection:close,F5直接做出了FIN ACK

第二次,软件请求的还是与80端口,而且get请求是带完整https url路径的,这种请求格式导致F5返回一个奇怪的重定向https://WWW.XXX.COMhttps://WWW.XXX.COM/test/test.do.导致漏洞验证失败。

再来对比一下浏览器页面访问80端口测试:经过tcp三次握手,浏览器发出get请求之后,F5返回一个302重定向,浏览器于是向443端口开始了三次握手,接下来就是https的通信过程,

通过对比实验分析,发现在漏洞利用工具在测试80端口时,如果网站做了80转443端口的强制跳转,浏览器在得到302重定向后就开始向443端口开始3次握手,而测试软件的数据包处理过程就有问题,这时候直接测试80端口软件就会存在误报。

小Z之前由于粗心,只测试网站的80端口,得出错误的结论,原因也找到了。

0×9 结尾

到此为止,所有的谜团一一解开,小Z结束了这次曲折的入侵取证之路。

参考链接:

https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

http://www.freebuf.com/sectool/125846.htm

原文地址:https://www.cnblogs.com/h2zZhou/p/9228804.html

时间: 2024-10-07 18:26:29

记一次服务器被入侵的调查取证的相关文章

记一次服务器被黑的调查过程

1.因服务器负载过高,查看原因,通过top命令查看负载发现异常进程md64, 2.ps查看进程启动程序 3.kill掉后跳出名为tsm异常进程,怀疑挖矿木马程序. 使用kill -9 杀死后,一分钟左右又自动出现, 4.ps查找该进程目录,发现可疑文件/usr/sbin/http 然进入到该目录,并没有发现该可疑文件. 5.查找有无可议计划任务. a.查看root下计划任务, b.清除后,查看git用户下计划任务. 将上述所列计划任务清除后,kill 杀死tsm进程后,还是启动 6.查找可疑用户

记一次服务器上架的总结和反思

由于博主所在公司最近业务量上升,各个项目进度加快,使得原有饱和的服务器资源变得紧张起来.博主很是着急啊,于是就做了一系列的资源使用统计和分析,然后向上递交了采购计划. 如题<记一次服务器上架的总结和反思>,服务器采购计划最终是批了.博主心情愉悦地等待着这批服务器的到达,并设计了相关的上架流程和自动化方案,最终进行了具体的实施操作.虽然在实施过程中遇到了一些问题,不过都是些不影响主流程的小问题,其中不乏在流程中忽略的点和未设计到的点,这些都是很值得事后思考和反思了.毕竟,这只是一次扩容,以后这种

服务器被入侵了怎么办?

遇到服务器被黑,很多人会采用拔网线.封 iptables 或者关掉所有服务的方式应急,但如果是线上服务器就不能立即采用任何影响业务的手段了,需要根据服务器业务情况分类处理. 下面我们看一个标准的服务器安全应急影响应该怎么做,也算是笔者从事安全事件应急近 6 年以来的一些经验之谈,借此抛砖引玉,希望大神们不吝赐教. 图 1:处理思路 如上图,将服务器安全应急响应流程分为如下 8 个环节: 发现安全事件(核实) 现场保护 服务器保护 影响范围评估 在线分析 数据备份 深入分析 事件报告整理 接下来我

记一次服务器被挖矿经历与解决办法

记一次服务器被挖矿经历与解决办法 在最近的某一天里面,中午的一个小息过后,突然手机的邮件和公众号监控zabbix的告警多了起来.我拿起手机一看原来是某台服务器上的CPU跑满了,就开始登上去看一下是哪个脚本导致负荷高的(在期间使用top -d 1命令查看负荷占用情况).可以静下来想了下,中午大家都在休息不应该CPU负载会这么高的,心里想80%是服务器被黑了. 后来发现是/tmp/ddgs.3013和/tmp/qW3xT.2这两个文件跑满了服务器CPU,后来决定先kill掉文件PID和删除/tmp目

赣州哪里有婚外恋调查取证

赣州哪里有婚外恋调查取证[电话:18725012926咨询QQ156661039]"客户第一,服务至上"的理念,以"真诚.守法.迅捷.保密"为经营方针,以维护客户利益为原则,以客户满意为标准,成立以来一直致力于为个人.个体工商户和企事业单位进行各种突发.疑难.棘手事件的调查取证工作,并在私家侦探领域取得了顺发的业绩,得到广大客户和社会的认可.至今已成功完成各类公私委托调查海2300多例.成绩卓著,受到著名媒体采访报道,新华社,新快报,南方都市报,羊城晚报,黄金时代杂

记一次Linux服务器被入侵后的检测过程

作者 | 哈兹本德     来源 | FreeBuf 0×00 前言 故事是这样的,大年初一,客户反应他们服务器无法访问,查看路由,发现某oracle+tomcat服务器UDP流量超大,把带宽占完了,过年嘛,客户那边先找了当地的技术人员弄了几天没搞定,然后没办法大年初三的找我们弄-顾客是上帝! 其实吧以前也遇到过这类攻击,当时某IDC都被打瘫了,只不过马儿不在我们的设备上,所以没过多关注- 0×01 查找木马 首先SSH登陆,top查看进程,发现奇怪名字的命令gejfhzthbp,一看就感觉有问

linux的FTP服务器搭建及FTP服务器的入侵和防御

FTP 是File Transfer Protocol(文件传输协议)的英文简称,而中文简称为"文传协议".用于Internet上的控制文件的双向传输. 与大多数Internet服务一样,FTP也是一个客户机/服务器系统.用户通过一个支持FTP协议的客户机程序,连接到在远程主机上的FTP服务器程序.用户通过客户机程序向服务器程序发出命令,服务器程序执行用户所发出的命令,并将执行的结果返回到客户机. 用户分类 Real帐户 这类用户是指在FTP服务上拥有帐号.当这类用户登录FTP服务器的

记一次服务器密钥失效经历

早上来公司,收到这个消息,我的心是崩溃的. “tim老师,测试服务器的远程登录密钥失效了”,我问他,做了什么改动没,得到的确切回复是“只是上传了一些代码”,再次询问下,坚持只上传了些代码,言之凿凿.这个问题可大了,1. 就这个机器而言,没有做任何事,“只是上传了代码”就导致用了两年的密钥不能用了,这个机器是着急用来搭建测试服务器的.这个测试服务器已经搭建了一个多星期了,之前一直说代码没准备好,现在又蹦出这个,真是幺蛾子啊.2. 所有包括正式的服务器与测试服务器一共11台.要是所有的服务器都在某个

怎样使用 Tripwire 来检测 Ubuntu VPS 服务器的入侵

介绍 当管理联网服务器时,服务器的安全是一个非常复杂的问题.尽管可以配置防火墙.设置日志策略.购买安全服务或者锁定应用,如果你想确保阻止每次入侵这远远不够. 一个 HIDS 可以收集你电脑的文件系统和配置,存储这些信息用来参考和判断系统当前的运行状态.如果在已知安全的状态和当前状态之间发生了改动,就表明可能已经并不安全了. Linux 下一个流行的 HIDS 是 Tripwire.这个软件可以跟踪许多不同的文件系统数据,以检测是否发生未经授权的更改. 在本文中,我们将讨论如何在 Ubuntu 1