典型协同攻击处置纪实：NetInside助力用户化解CRM测试环境安全危机

2025年11月，我方某用户的CRM系统测试环境服务器（IP：101.xxx.xxx.237）遭遇Web漏洞与SSH暴力破解协同入侵，导致业务中断。依托NetInside网络流量分析系统的全量监控与溯源能力，我们快速完成攻击定位、恶意清理与安全加固，现对事件详情进行复盘分享。 一、异常发现： NetInside率先捕捉流量异常信号 2025年11月，用户运维人员在CRM系统测试过程中，通过NetInside网络流量分析系统率先发现异常，后续逐步核实系列问题： 1、流量监控异常：通过NetInside系统“蠕虫病毒视图”核查发现，目标服务器的SSH登录失败事件累计达130万次；进一步查看主机曲线图分析，11月期间特定时段网络吞吐量突增，存在明显攻击流量特征。

2、登录异常：运维人员通过SSH登录服务器时多次提示“密码错误”，排除自身操作失误后，初步判断存在暴力破解风险。 3、资源占用异常：通过服务器监控面板发现，CPU使用率瞬间飙升至99%以上，系统响应极度缓慢，CRM测试业务无法正常开展。

二、流量趋势分析： 锁定攻击核心特征 1、主机详细数据 基于NetInside网络流量分析系统的目标主机数据： ● 时间范围：2025年11月某时段 ● 流量基础特征：正常状态下吞吐量稳定在0.1Mbps以下，攻击时段吞吐量骤升至峰值1.6468Mbps（其中流入0.0925Mbps，流出1.5543Mbps），与攻击行为完全同步；攻击流量以TCP协议为主，HTTP和SSH流量占比超90%，为核心攻击载体。

2、流量深度分析与数据包采集 通过NetInside系统主机数据分析功能开展以下操作： 定位目标主机数据：筛选攻击时段目标主机数据，吞吐量（总和）61.417kbps、失败数（接收）20731个，明确该时段存在高频失败与异常流量特征。

右键钻取与数据包下载：对目标主机数据执行“流量详细分析”操作，通过系统内置的数据包下载管理器，筛选对应时段流量会话下载数据包，为后续深度分析提供原始数据支撑。

三、抓包分析：

拆解双路径攻击逻辑 1、8080端口Web攻击流量分析 通过设置过滤条件 （ip.addr == 101.xxx.xxx.237 && tcp.port == 8080），筛选出目标服务器8080端口流量并深度分析： ● 攻击源IP：198.xxx.xx.213 ● 端口特征：源端口为高位随机端口（63854、64104），目的端口固定为8080 ● 流量细节：攻击流量为加密TCP报文，包含[PSH, ACK]标记，两次核心攻击报文数据长度分别为243字节和207字节，属于Web漏洞攻击的恶意Payload传输行为。

通过Follow → TCP Stream”功能追踪数据流，虽Payload为加密状态，但结合报文时序、数据长度及后续服务器行为，可判定为漏洞利用的核心攻击数据。

2、22端口SSH暴力破解流量分析 通过设置过滤条件 （ip.addr == 101.xxx.xxx.237 && tcp.port == 22），筛选出目标服务器22端口流量并深度分析： ● 攻击源IP：64.xxx.xxx.136、36.xxx.xxx.84、192.xxx.xxx.104等多个恶意IP ● 端口特征：源端口为1024+高位随机端口（40176、5401、5596等），目的端口固定为22 ● 流量细节：存在大量Elliptic Curve Diffie-Hellman Key Exchange Init报文，为SSH暴力破解认证阶段核心行为，伴随频繁的加密数据包和密钥协商操作，短时间内发起海量登录失败尝试，攻击频次极高。

3、SSH暴力破解的连锁影响 从抓包结果可见，大量恶意IP（如177.xxx.xx.7、177.xxx.xx.250等）针对目标服务器22端口发起高频SSH连接尝试，服务器因认证失败持续返回[RST, ACK]报文，进而触发TCP重传机制。这种高频次“连接尝试-认证失败-重传”循环，与8080端口植入的恶意程序形成“双重资源占用”，最终导致服务器CPU跑满。

四、服务器日志佐证： 攻击痕迹明确

登录目标服务器调取系统及服务日志，获取关键佐证： 从SSH登录日志可见，多个境外IP（如139.xxx.xx.33、8.xxx.xx.235等）在短时间内发起高频SSH暴力破解尝试，多次尝试破解root、postgres等常见账号密码，大量登录请求因认证失败被拒绝，与抓包分析结果完全吻合

五、危险情报关联： 锁定攻击源头 通过网络危险情报库关联分析，获取关键信息： 1. 攻击IP情报：攻击源IP 198.xxx.xx.213被10家安全厂商标记为恶意，涉及恶意软件、钓鱼等多类风险，归属某境外攻击团伙，该团伙近期针对国内CRM系统、测试环境服务器发起“Web漏洞植入+SSH暴力破解”协同攻击，与本次事件手法完全吻合。 2. 恶意载荷情报：经匹配，本次植入的恶意程序疑似为PUA.Unix.Coinminer.XMRig-6683890-0，具备自动提权、隐藏进程、连接境外矿池、持续占用CPU资源等特征，与服务器CPU跑满现象完全匹配。

六、风险评估

七、修复与加固措施 紧急修复措施 1、恶意清理：通过top命令定位恶意进程xmrig（PID：xxx），执行kill -9 xxx强制终止进程及关联子进程；删除/tmp、/var/tmp目录下的tools.tar压缩包、解压后的恶意程序及相关脚本，确保无残留。

2、网络拦截：开启防火墙，仅放行8080-8089端口、SSH 22端口及443 nginx代理端口的访问；临时关闭8080端口公网访问权限，仅开放内部测试IP段访问，避免二次攻击。 长期加固措施 1、SSH服务加固： 禁用密码认证，强制启用SSH密钥对认证，密钥文件权限设置为chmod 600 ~/.ssh/id_rsa；修改/etc/ssh/sshd_config配置文件，设置PermitRootLogin no（禁止root直接登录）、MaxAuthTries 3（限制认证尝试次数）、AllowUsers test01（仅允许指定测试用户登录）。 2、漏洞防护强化： 针对性修补8080端口Web漏洞，关闭不必要的服务与端口，消除攻击入口。 3、监控体系优化： 在NetInside系统中进一步强化对目标服务器的多维度监测与智能告警机制，提升异常行为识别灵敏度。 八、结论 本次事件是一起典型的Web漏洞入侵+SSH暴力破解协同攻击事件，攻击者通过目标服务器8080端口Web漏洞发送加密Payload，成功植入恶意挖矿程序，同时通过多个恶意IP发起高强度SSH暴力破解，形成“双路径攻击”态势。 通过NetInside网络流量分析系统率先捕捉流量异常，进行数据流追踪、服务器日志核查及危险情报关联，我们已完整还原攻击过程，高效完成漏洞修复、恶意清理及安全加固等全流程处置工作，目前服务器已恢复正常运行，CRM测试业务稳步推进。 后续建议用户持续优化安全监控策略，定期开展安全排查，强化测试环境的安全防护能力，有效抵御同类攻击事件。 END