应急实战(10)：Linux后门帐号

1. Prepare

1.1 部署安全设备

部署主机安全产品：牧云HIDS

2. Detect

2.1 设备产生告警

2024-10-12 01:40:42，牧云产生告警，服务器执行了可疑命令：

useradd guest -o -u 0 -g 0 -c guest -m -d /home/guest -s /bin/bash -p 1EwkP89RH

登录牧云，看到源IP地址是法国的217.128.86.8

牧云没有该IP的其他告警

境外IP创建系统帐号，基本可确认是真实攻击，需启动应急

3. Contain

无异常网络连接需要遏制

无异常进程需要遏制

4. Eradicate

4.1 删除后门帐号

删除后门帐号：userdel -r guest

产生报错：user guest is currently used by process 1

因为guest帐号的uid和gid是0，所以被1号进程使用很正常

正打算按照https://www.rootop.org/pages/5075.html的方法处理，结果guest帐号不知怎么就自己没了

4.2 加固弱口令帐号

查看帐号登录情况，发现陕西IP地址106.36.198.78也登录过，整理如下：

1、Oct 12 01:01:29：陕西IP登录root帐号失败1次

2、Oct 12 01:09:50：陕西IP登录root帐号成功1次

3、Oct 12 01:39:59：法国IP登录root帐号成功1次

4、Oct 13 21:41:42：陕西IP登录root帐号失败2次

由此可猜测，可能是陕西IP爆破出root帐号的弱口令后提供给法国IP，当然也可能是法国IP自己一次就猜中了root帐号的弱口令。

修改root帐号的弱口令

5. Recover

5.1 恢复帐号登录

基于/etc/shadow的ctime，识别到/etc/ssh/sshd_config也被攻击者篡改过

查看/etc/ssh/sshd_config，发现root用户被攻击者设置为禁止登录：DenyUsers root

看来攻击者是怕煮熟的鸭子飞了，顺手帮我加固了弱口令帐号。

删掉该配置项，就能恢复root帐号登录

6. Follow-Up

6.1 修改登录端口 暴力破解告警实在太多，不胜其扰

将ssh端口改掉即可

/etc/ssh/sshd_config：Port 22222

systemctl restart sshd

6.2 开启命令记录

为有效监控攻击者执行的命令，开启全量命令记录功能