应急实战(10):Linux后门帐号

目录

1. Prepare

    1.1 部署安全设备

2. Detect

    2.1 设备产生告警

3. Contain

4. Eradicate

    4.1 删除后门帐号

    4.2 加固弱口令帐号

5. Recover

    5.1 恢复帐号登录

6. Follow-Up

    6.1 修改登录端口

    6.2 开启命令记录

1. Prepare

1.1 部署安全设备

部署主机安全产品:牧云HIDS

fe3755b9922dbd19d0286900234da623.png

2. Detect

2.1 设备产生告警

2024-10-12 01:40:42,牧云产生告警,服务器执行了可疑命令:    

useradd guest -o -u 0 -g 0 -c guest -m -d /home/guest -s /bin/bash -p $1$EwkP89RH$N2zHMdX5wrcpWF9lzD.3k1

864fcf2d6504038630517897a912e158.png

登录牧云,看到源IP地址是法国的217.128.86.8    

1b79bbb1e200b8d15556ebeebd66375e.png

60578021851dfb4fe8a7b6e76daceeb3.png

牧云没有该IP的其他告警    

c71dbf3f66b8d8c866444f46d2497acf.png

境外IP创建系统帐号,基本可确认是真实攻击,需启动应急

3. Contain

无异常网络连接需要遏制

3f991d50cd50ead8126b7de01d198859.png

无异常进程需要遏制    

e058a7117fb3c3171d4be4dbcc13fdf4.png

4. Eradicate

4.1 删除后门帐号 

删除后门帐号:userdel -r guest

产生报错:user guest is currently used by process 1    

c58e1dd5d507750804d01610e33f6f54.png

因为guest帐号的uid和gid是0,所以被1号进程使用很正常

正打算按照https://www.rootop.org/pages/5075.html的方法处理,结果guest帐号不知怎么就自己没了

0534f34c4a7481b396cebb5f0f02fa61.png

4.2 加固弱口令帐号

查看帐号登录情况,发现陕西IP地址106.36.198.78也登录过,整理如下:

1、Oct 12 01:01:29:陕西IP登录root帐号失败1次

2、Oct 12 01:09:50:陕西IP登录root帐号成功1次    

3、Oct 12 01:39:59:法国IP登录root帐号成功1次

4、Oct 13 21:41:42:陕西IP登录root帐号失败2次

由此可猜测,可能是陕西IP爆破出root帐号的弱口令后提供给法国IP,当然也可能是法国IP自己一次就猜中了root帐号的弱口令。

af6320e9c2b2f6a4b52db41c9d5cb26d.png

修改root帐号的弱口令

2fc77fedb50cbc689a8413cfa6c49b1a.png

5. Recover

5.1 恢复帐号登录

基于/etc/shadow的ctime,识别到/etc/ssh/sshd_config也被攻击者篡改过    

666af554a97aac5825074320c86217d3.png

查看/etc/ssh/sshd_config,发现root用户被攻击者设置为禁止登录:DenyUsers root

看来攻击者是怕煮熟的鸭子飞了,顺手帮我加固了弱口令帐号。

163794ad4fd8fc3e54d4f8472c89a445.png

删掉该配置项,就能恢复root帐号登录    

6. Follow-Up

6.1 修改登录端口

暴力破解告警实在太多,不胜其扰

f3fe6772755a9a0ae99bbb4595069503.png

将ssh端口改掉即可

/etc/ssh/sshd_config:Port 22222

systemctl restart sshd

690f2b59e4a80d8263db17eaa4007879.png

6.2 开启命令记录

为有效监控攻击者执行的命令,开启全量命令记录功能

a5c08aa8c667587d8847269f80eb4674.png

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/56360.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

自定义多级联动选择器指南(uni-app)

多端支持:可以运行在H5、APP、微信小程序还是支付宝小程序,都可以轻松使用改组件。自定义配置:您可以根据需要配置选择器的级数,使其适应不同的数据结构和用例。无限级联:此组件支持无限级联选择,使您能够创…

类和对象(完结)

文章目录 一对构造函数的补充1初始化链表2必须在初始化链表定义的情况3对于在类中成员变量初始化的总结4总结二类型转换1格式2规则三static成员1规则四友元1定义2 两种例子五匿名对象1格式2特殊情况 一对构造函数的补充 1初始化链表 结构:类名(参数&…

数字化转型:解决项目管理困境的新路径

在当今这个飞速发展的数字化时代,企业如同在汹涌波涛中航行的船只,承受着前所未有的变革压力。而作为企业运作核心环节之一的项目管理,同样面临着巨大的挑战。 传统项目管理模式中的种种问题,犹如顽固的礁石,阻碍着项目…

Shiro认证 -- (Authentication)

Apache Shiro是一个功能强大的Java安全框架,提供了身份验证(Authentication)、授权(Authorization)、加密(Cryptography)、会话管理(Session Management)、与Web集成、缓…

Linux执行source /etc/profile命令报错:权限不够问(已解决)

1.问题 明明以root账号登录Linux系统,在终端执行命令source /etc/profile时 显示权限不够 如下图: 2.问题原因 可能在编辑 /etc/profile 这个文件时不小心把开头的 井号 ‘#’ 给删除了 如图: 这里一定要有# 3.解决办法 进入/etc/pro…

扫雷(C 语言)

目录 一、游戏设计分析二、各个步骤的代码实现1. 游戏菜单界面的实现2. 游戏初始化3. 开始扫雷 三、完整代码四、总结 一、游戏设计分析 本次设计的扫雷游戏是展示一个 9 * 9 的棋盘,然后输入坐标进行判断,若是雷,则游戏结束,否则…

字节内部整理的软件测试面试题(含文档)

常见的面试题汇总 1、你做了几年的测试、自动化测试,说一下 selenium 的原理是什么? 我做了五年的测试,1年的自动化测试; selenium 它是用 http 协议来连接 webdriver ,客户端可以使用 Java 或者 Python 各种编程语言…

【网络安全】未加密的F5 BIG-IP Cookie存在严重漏洞将被攻击者利用

文章目录 未加密的F5 BIG-IP Cookie存在严重漏洞将被攻击者利用F5 会话 Cookie推荐阅读 未加密的F5 BIG-IP Cookie存在严重漏洞将被攻击者利用 网络安全和基础设施安全局发布最新警告称,已观察到威胁行为者滥用未加密的持久性F5 BIG-IP Cookie来识别并针对目标网络…

电能质量的危害主要是哪些?我们该如何应对电能质量故障所带来的损失?

电能质量治理在现代配电系统中的必要性日益凸显。随着可再生能源和智能电网技术的广泛应用,电力系统面临着频率波动、谐波污染和电压不稳定等问题。这些问题不仅影响了电力的可靠性和安全性,还可能导致设备损坏和能效降低。因此,实施电能质量…

Pagehelper获取total错误

前言 在使用若依框架的pagehelper时,给分页表设置数据的时候前端只收到了分页的那一页的数据,总记录数不符合要求 我想要的效果如下,可以实现分页,和显示总记录数 但是实际情况为 但是我的数据库有11条记录,他这里明…

QCY开放式耳机值得买吗?南卡、QCY、韶音开放式耳机最全测评!

​开放式耳机最近还挺火的,因为相对于传统的入耳式耳机来说,它佩戴起来更舒适,也更卫生,更加适配运动场景,现在不少的健身或者运动博主都选择了开放式耳机,那么作为一个同样喜欢跑步的数码博主,…

开源一个C缓存库

1 简介 在当下的视频点播应用场景下,端侧对视频缓存的需求可谓刚需,一方面可以为公司节省流量成本,一方面也可以提升用户的播放体验,有一石二鸟之效。 近期,本人用C写了一个缓存库,支持iOS/Android/harmony…

java项目之信息化在线教学平台的设计与实现(源码+文档)

项目简介 信息化在线教学平台的设计与实现实现了以下功能: 信息化在线教学平台的设计与实现的主要使用者管理员功能有个人中心,学生信息管理,教师信息管理,教学信息管理,学生成绩管理,留言板管理&#xf…

番外篇 | 史上最全的关于CV的一些经典注意力机制代码汇总

前言:Hello大家好,我是小哥谈。注意力是人类认知系统的核心部分,它允许我们在各种感官输入中筛选和专注于特定信息。这一能力帮助我们处理海量的信息,关注重要的事物,而不会被次要的事物淹没。受到人类认知系统的启发,计算机科学家开发了注意力机制,这种机制模仿人类的这…

《语音识别芯片选型全攻略》

《语音识别芯片选型全攻略》 一、语音识别芯片性能评估(一)主控芯片性能评估(二)接口需求分析(三)可靠性评估(四)生产工艺考量(五)湿敏等级判断 二、语音识别…

倍福TwinCAT程序中遇到的bug

文章目录 问题描述:TwinCAT嵌入式控制器CX5140在上电启动后,X001网口接网线通讯灯不亮,软件扫描不到硬件网口 解决方法:硬件断电重启后,X001网口恢复正常 问题描述:TwinCAT软件点击激活配置后,…

汽车免拆诊断案例 | 2022款大众捷达VS5车行驶中挡位偶尔会锁在D3挡

故障现象  一辆2022款大众捷达VS5汽车,搭载EA211发动机和手自一体变速器,累计行驶里程约为4.5万km。该车行驶中挡位偶尔会锁在D3挡,车速最高约50 km/h,且组合仪表上的发动机故障灯和EPC灯异常点亮。 故障诊断  用故障检测仪检…

SQL语句查询

SQL语句查询 查询产生一个虚拟表 看到的是表形式显示的结果&#xff0c;但结果并不真正存储 每次执行查询只是从数据表中提取数据&#xff0c;并按照表的形式显示出来 查询语法 SELECT <列名> FROM <表名> [WHERE <查询条件表达式>] SELECT …

【python书籍-附电子版】Python入门零基础必看书籍,python编程入门教程指南,从入门到精通,这几本书太牛了!!

今天为大家推荐的“Python 编程三剑客”是新手小白学习编程的不二之选&#xff01;这三本书分别从不同的角度&#xff0c;对 Python 编程进行了详细的解析。 &#xff08;领取方式见文末&#xff09; 一《Python编程&#xff1a;从入门到实践》 第一本为你打下坚实的基础&am…

详解安卓和IOS的唤起APP的机制,包括第三方平台的唤起方法比如微信

网页唤起APP是一种常见的跨平台交互方式&#xff0c;它允许用户从网页直接跳转到移动应用程序。 这种技术广泛应用于各种场景&#xff0c;比如让用户在浏览器中点击链接后直接打开某个应用&#xff0c;或者从网页引导用户下载安装应用。实现这一功能主要依赖于URL Scheme、Univ…