一次应急响应事件处理过程-系统用户密码被爆破并下载木马

一、事件分析

客户反馈异地登录如图：

检测用户异常登录成功历史如图：

发现异常登录IP如下（）：

47.92.66.145

86.121.142.213

109.100.108.78

检测日志ip地址为47.92.66.145尝试暴力破解如图：

 

IP地址：109.100.108.78尝试登录服务器112.74.48.228如图

IP地址：86.121.142.213尝试登录服务器112.74.48.228如图

查看服务器112.74.48.228用户为mongo历史命令记录如图：

分析历史命令记录可以看出异地登录用户mongo尝试下载文件Nasa.zip，Ln.zip，China.zip文件，成功下载Nasa.zip后并解压此文件执行Nasa目录下名字为n的文件。文件创建时间如图：

 

 

二、恶意文件分析

此次从服务器112.74.48.228发现恶意文件如下：

文件名名：Nasa.zip

文件md5：5229b4a5a43d473575084e3d1a6510b0

压缩文件Nasa.zip如图：

文件名名：China.zip

文件md5：87dbee32041a3c62fa6ed49a214a655d

压缩文件China.zip如图：

文件名名：Ln.zip

文件md5：5229b4a5a43d473575084e3d1a6510b0

压缩文件Ln.zip如图：

 

综合以上压缩文件Ln.zip，China.zip，Nasa.zip发现如下主要恶意文件如下：

文件名：pscan2

md5: f51b8ed30a87c1dc02044c16f2cd0fa7

程序功能：端口扫描程序

程序功能检测如图：

 

文件名：sshd

md5: df60a14ec58135664504d9dd4fa76ba4

文件功能：ssh密码暴力破解程序

程序功能检测如图：

 

 

文件名：screen

md5: cbf0f41bbbafb1c2609bedb943be3b36

文件功能：多重视窗管理程序（linux常用程序）

程序功能检测如图：

文件名：da

md5: f51b8ed30a87c1dc02044c16f2cd0fa7

程序功能：端口扫描程序

程序功能检测如图：

 

 

文件名：1

md5: 346f6d207bdaa40a492622d8e4f4e580

程序功能：字典文件

程序功能检测如图：

 

文件名：Desktop.ini

md5: 4cfa803ab61abbf4447ceff817ca8fe8

程序功能：临时文件

程序功能检测如图：

 

文件名：n

md5: bded08fdfa92873fc462cf14a90166bf

程序功能：shell脚本程序“n”调用端口扫描程序“pscan2”文件对存在22端口的IP段进行扫描成功的IP保存到“scan.log”文件，扫描完成延时3秒后使用ssh暴力破解程序“sshd”文件调用成功扫描到的ip文件“scan.log”使用字典文件“1”进行暴力破解

程序功能检测如图：

三、总结建议

事件总结：

    攻击ip为47.92.66.145主机对主机ip为112.74.48.228主机的ssh暴力破解，破解用户“mongo”密码成功后，IP为86.121.142.213，109.100.108.78的攻击者登录服务器，尝试下载文件Nasa.zip，Ln.zip，China.zip文件，成功下载“Nasa.zip”后并解压此文件执行“Nasa”目录下名字为“n”的文件。（注：“n”文件具体功能详见恶意文件分析篇）

加固建议：

1.加强用户口令，建议开启密码策略。

2.建议每过一段时间对服务器的口令进行更换。

3.限制敏感端口对外网端口。