网络安全事件应急问题分析
上报人
上报日期
2020年11月04日
事件名称
紧急响应故障排除
事件类型
采掘病毒
发生时间
2020年11月04日
发生位置
事件说明
云主机CRM01(192.168.0.14 )根密码无法登录,密码重置失败。
持续时间
影响范围
临时发现了云主体crm00、crm01、crm02、crm03、crm04、crm05、crm06、crm07
受影响的业务
应急措施
请调查中毒原因,为客户提供安全防护。
事件处理流程
见附件一
事件原因分析
在对在云主机上开采的病毒进行故障排除的同时,云主机上的操作系统帐户密码已更改。
后续预防措施
1 .建议更改默认的ssh端口。
2 .建议配置安全组规则,以限定源IP。 你最好避免在整个网上开放某些高危端口。
3 .建议设置云防火墙规则。
4 .建议加强服务器用户密码规则的强度。
5 .建议缩小服务器操作权限的范围。
6 .建议不需要的用户取消root权限。
7 .建议解除服务器之间的密集登录。
8 .建议定期进行云主机备份。
详细的处理步骤:
客户无法登录到crm01服务器的根用户,在移动云页面上强制更改帐户密码失败。 提交工单反馈后台处理(必须提交移动云帐户密码)。 后台反馈成功更改了crm01服务器的根密码,测试登录成功,测试页面上的密码强制更改失败。 继续背景反馈。 通过后台反馈服务挖掘病毒,向客户申请登录权限,登录服务器确认感染病毒,并反馈到后台确认中毒原因。 同时私下寻找中毒的原因。
问题1:crm01服务器上没有公共网络IP。 问题2 :客户安全组目前没有向网络开放22个端口。 了解客户具体情况,申请客户移动云帐户的权限,登录客户移动云帐户,查看资源开通情况。
结果1:客户用1个vpc开通10台云主机,有3个公共网络ip。 结果2 )客户有全网开放22端口操作,近期修改安全组进行回收。 登录客户端服务器查看如何下载病毒文件和下载命令。 确认病毒文件的下载时间。 同步确认了云监视,确定了异常的具体时间。 6 .查看服务器crm01的登录日志,在对应的时间点有来自同一vpc下的服务器crm05的根用户的登录日志。
7 .确认CRM05服务器上存在公共网络ip,登录CRM05服务器,发现使用ssh crm01直接跳转成功,发现客户配置了root用户的免密登录。 显示crm05服务器的历史命令、进程信息和病毒文件。
crm05中也存在病毒文件,几乎与crm01同时被发现。
查看crm05登录日志。 发现hadoop用户在对应时间段内有hadoop用户登录成功的信息,确认源ip为海外ip地址,基本判定为ssh爆破。
9 .日志分析显示,crm05主机的hadoop用户被炸后,执行sudo操作,配置不通过root用户密集登录其他云主机进行病毒感染。 为了验证分析结果,登录了其他几台主机,都找到了病毒
及跳查登录信息。 所以得出结论。 crm05服务器的hadoop用户被率先炸毁后,通过sudo获得root权限,通过客户配置的加密进行病毒感染。