百度云主机安全防护(Hosteye)的使⽤——从两个挖矿case说起 背景
前段时间处理了⼏个百度云⽤户主机被植⼊挖矿⽊马的事件,对事件进⾏了溯源分析。在处理挖矿⽊马和溯源的过程中,发现有的⽤户未能很好的使⽤云主机安全防护(Hosteye)免费提供的能⼒来加强⾃⾝主机安全,本⽂就结合例⼦来说⼀下百度云主机安全防护(Hosteye)在事中防护和事后审计中的作⽤。
光杆司令篇
某⽇凌晨⼀点左右,⼀个紧急电话把我从梦中叫醒,某A客户机器被植⼊了挖矿⽊马需要紧急协助处理。在处理的过程中发现⽤户把所有的云主机安全防护(Hosteye)都卸载了,『好⼀个光杆司令的⽆安全裸奔』,因为⽤户卸载了云主机安全防护(Hosteye)使得⽤户在⼊侵发⽣时未能及时感知,并给问题溯源造成了⼀些⿇烦。 感染现象
1. 登录⽤户给定的主机,执⾏top查看各个进程的资源占⽤状况,发现有个名为init的进程CPU使⽤率⾮常⾼。这是⼀个伪装成init的恶意程序。
3. 本来想从/proc/18795中获得init的执⾏⽂件,发现init的执⾏⽂件已经被删除,crontab -e中也光秃秃(挖矿⽊马⼤多会在contab中写⼊定时任务)。这时候只能祭出dump⼤法了,脚本源码如下:
熄火延时器
#!/bin/bash
通过bash dump.sh 18795得到了init的dump⽂件,通过strings查看dump⽂件,分析字符串的内容可以看到挖矿的通信json格式,挖矿矿池ip和域名等,⽤户被植⼊了门罗币挖矿。
溯源
因为⽤户没有开启主机安全防护(Hosteye)我们只能通过机器上的⽇志来⼿动分析。
1.
通过对/var/log/secure⽇志进⾏分析,发现了存在爆破⾏为,其中B、C、D机器爆破成功
2.
通过对其他被植⼊的挖矿程序的机器分析,并综合各种信息我们发现机器D为第⼀台被感染的机器。
定位到了初始传染源我们就重点对D机器进⾏分析:
1.
登录D机器,查看bash_history⽂件发现第⼀个命令是exit,且第⼀⾏为⼀个空⾏,猜测历史记录被删除过
2.
通过last查看⽤户的登录历史,发现最早的⼀个登录是⼏天前(2020年6⽉16号09:58 - 09:58),机器的启动时间是2019年年初,因此/var/log/wtmp 显然被删除过
3.
⼤多数挖矿程序都会使⽤crond定时任务,查看/var/log/cron, 发现有每分钟⼀次的/tmp/.ICE-unix/.init/init定时任务,最早的启动时间为2020年6⽉14号22:48:01
4.
根据2和3我们知道⼊侵者活动痕迹的关键⽇志的时间应该在2020年6⽉14号22:48:01到2020年6⽉16号09:58
5.
查看/var/log/secure⽇志去搜索⽤户的登录痕迹,发现/var/log/secure最开始的⼀条⽇期是2020年6⽉16号20点20分,之前备份的⽇志的最后的⽇志是14号 03:34:59。显然有⼈在2020年6⽉16号20点20分对4中分析出的关键时间点的⽇志进⾏了清理
6.
攻击者百密⼀疏,攻击者在2020年6⽉16号20点20分清理/var/log/secure时,并未再次对/var/log/wtmp进⾏清理,这就使得last完美的记录了清理/var/log/secure时的那个登陆者。
7.
我们根据last中定位在2020年6⽉16号20点20分时间段的登录⾝份以及其他的审计信息追溯到这是⼀个内⿁事件。
⼩结
客户A的问题的溯源并不复杂,不过由于⽤户未开启云主机安全防护(Hosteye),使得⽤户未能在第⼀时间发现机器被植⼊了挖矿⽊马;同时由于缺少云主机安全防护(Hosteye)的防护信息,使得事后溯源的关键信息缺失,给溯源分析带来了⼀定的困难,如果不是攻击者⼀时的疏忽,这次安全事件根本⽆法定位。
半武装篇
与A客户不同的是,客户B的机器被植⼊挖矿时,他们开启了云主机安全防护(Hosteye)的登录管理功能(未开启挖矿⽊马检测),处在"半武装状态下"。当⿊客第⼀次登录机器的时候,云主机安全防护(Hosteye)给客户B发送了异地登录告警通知。登录报警机器,⽤户发现被植⼊了⽊马,但是客户当时未能有效清理⽊马,且所中⽊马具有蠕⾍特性,导致⽊马病毒扩散,屡次删除不了的情况下,客户请求我们紧急协助处理。
⽊马清理
按照上篇感染现象⾥⾯的1,2,3分析得出⽤户所中⽊马是挖矿僵⼫⽹路dota3⽊马。然后我们就着⼿做清理⼯作:
1 .查crontab,发现脚本在/root/.configrc和/tmp/.X25-unix⽬录下⾯,⽴即删除crontab中的不认识的隐藏⽬录,并清理crontab
2. 查cpu使⽤率较⾼的进程,并将tms和其他可疑进程kill掉,并删除可疑进程的可执⾏⽂件或其脚本所在⽂件夹
3. 执⾏ps -ef|grep bash,发现其中有个可疑的进程,将该进程kill掉,并删除可疑进程的可执⾏⽂件或
其脚本所在⽂件夹
4. kill掉masscan进程,并删除masscan可执⾏⽂件或其脚本所在⽂件夹tvline
⼩结
因为⽤户B开启了云主机安全防护(Hosteye)的登录管理功能,所以在溯源过程中我们很轻松的到了⽤户被恶意IP 159.203.112.185(美国/纽约州/纽约 )以公钥认证的⽅式登录。根据云主机安全防护(Hosteye)的⽇志分析,是⽤户机器root⽤户使⽤了弱密码,被爆破后,攻击者开启了ssh公钥认证登录。客户后续就加固了密码并关闭了ssh公钥认证登录。
挖矿⽊马的特征和删除
特征
剑杆织布机挖矿程序⼀般具有以下特征:
1 .CPU使⽤率⽐较⾼ (可通过top查看)
1 .CPU使⽤率⽐较⾼ (可通过top查看)
边侧
商户服务支持系统智能自吸泵
2 .与外部的恶意IP建⽴链接通信,该IP⼀般为矿池IP (可使⽤lsof -i -a|grep pid或者netstat查看)
3 .使⽤了诸如stratum协议通信 (挖矿脚本源码或者通过dump出的dump数据来确认)
我们可以根据这三个特征来判定⼀个程序是否为挖矿程序
删除
挖矿⽊马的删除有些⽐较简单,直接kill掉进程然后删除脚本;有些⽐较复杂,针对复杂的场景,删除挖矿程序需要注意以下⼏点:
1.
挖矿⽊马是否启动了crontab定时任务 (查看所有crontab定时任务并分析)
2.
在删除CPU占⽤较⾼的可疑进程以后,也要特别关注他们的⽗⼦进程,检查是否启动了其他关联进程(如保活进程),尤其是bash启动的程序(要特别审查ps -ef|grep bash发现的进程)
3.
查看⽹络连接,对可疑的IP连接进程进⾏特别关注
4.
查看挖矿⽊马是否启动了扫描程序
5.
查看攻击者是否设置了ssh公钥认证登录
百度云主机安全防护(Hosteye)的使⽤
在上述例⼦中,客户A和客户B都被挖矿⽊马⼊侵,所不同的是两个客户对云主机安全防护(Hosteye)做了不⼀样的使⽤策略。虽然B客户通过异地登录告警及时发现了⿊客⼊侵⾏为,但是这只能算是⼀次歪打正着的⽅式。
登录管理、安全基线检查和恶意进程查杀(⾮企业版)是百度云主机安全防护(Hosteye)中的三个免费功能,我们可以使⽤这三个功能来加固⽤户⾃⼰的主机安全。⾸先进⼊登录控制台,选择产品服务->安全与管理->主机安全。以给客户B 的建议操作为例⼦,根据云主机安全防护的⽇志我们定位B客户解弱密码被爆破(以下图⽚为演⽰图⽚):
1 .我们⾸先建议客户对所有的机器进⾏了⼀次安全基线检查,检查发现客户B多台机器上存在root账户的弱密码(root@123)以及其他风险项,⽤户根据安全基线检查所给出的问题的建议对各种配置和密码进⾏了加固。(⾸先需要在配置管理→安全基线设置中设置检查项和检查时间)
百度云主机安全防护配置管理
2. 在登录管理系统中,我们发现有多个国外IP尝试登录客户B的机器,建议⽤户对这些IP进⾏加⿊处理,进⼊⿊名单的IP被拒绝登录。(百度云主机安全防护本⾝具有识别暴⼒破解IP的能⼒,下图中「该来源IP正在封禁中」提⽰即表名该IP 被识别为恶意IP并暂时封禁,封禁时间结束后IP才会解封,可通过加⿊加⽩处理来对IP进⾏特着设置)
百度云主机安全防护登录IP加⿊处理
3. 开启恶意进程扫描定时任务以及实时监控,对蠕⾍、⽊马、挖矿等恶意进程进⾏实时监控和定时扫描。(⾸先需要在配置管理->恶意进程设置中设置检查参数)
配置管理->恶意进程设置中设置检查参数)
4. 设置报警,对1,2,3中发现的问题设置详细的报警⽅式(短信、、邮件),以便按照紧急程度来及时通知客户安全事件报警设置
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议