部署主机安全产品:牧云HIDS
2024-10-12 01:40:42,牧云产生告警,服务器执行了可疑命令:
useradd guest -o -u 0 -g 0 -c guest -m -d /home/guest -s /bin/bash -p 1EwkP89RH
登录牧云,看到源IP地址是法国的217.128.86.8
牧云没有该IP的其他告警
境外IP创建系统帐号,基本可确认是真实攻击,需启动应急
无异常网络连接需要遏制
无异常进程需要遏制
删除后门帐号:userdel -r guest
产生报错:user guest is currently used by process 1
因为guest帐号的uid和gid是0,所以被1号进程使用很正常
正打算按照https://www.rootop.org/pages/5075.html的方法处理,结果guest帐号不知怎么就自己没了
查看帐号登录情况,发现陕西IP地址106.36.198.78也登录过,整理如下:
1、Oct 12 01:01:29:陕西IP登录root帐号失败1次
2、Oct 12 01:09:50:陕西IP登录root帐号成功1次
3、Oct 12 01:39:59:法国IP登录root帐号成功1次
4、Oct 13 21:41:42:陕西IP登录root帐号失败2次
由此可猜测,可能是陕西IP爆破出root帐号的弱口令后提供给法国IP,当然也可能是法国IP自己一次就猜中了root帐号的弱口令。
修改root帐号的弱口令
基于/etc/shadow的ctime,识别到/etc/ssh/sshd_config也被攻击者篡改过
查看/etc/ssh/sshd_config,发现root用户被攻击者设置为禁止登录:DenyUsers root
看来攻击者是怕煮熟的鸭子飞了,顺手帮我加固了弱口令帐号。
删掉该配置项,就能恢复root帐号登录
将ssh端口改掉即可
/etc/ssh/sshd_config:Port 22222
systemctl restart sshd
本文分享自 OneMoreThink 微信公众号,前往查看
如有侵权,请联系 cloudcommunity@tencent.com 删除。
本文参与 腾讯云自媒体同步曝光计划 ,欢迎热爱写作的你一起参与!