黑客如何利用SSH弱密碼攻擊控制Linux服務(wù)器，很多新手對(duì)此不是很清楚，為了幫助大家解決這個(gè)難題，下面小編將為大家詳細(xì)講解，有這方面需求的人可以來(lái)學(xué)習(xí)下，希望你能有所收獲。

創(chuàng)新互聯(lián)2013年至今，公司以成都做網(wǎng)站、網(wǎng)站設(shè)計(jì)、系統(tǒng)開(kāi)發(fā)、網(wǎng)絡(luò)推廣、文化傳媒、企業(yè)宣傳、平面廣告設(shè)計(jì)等為主要業(yè)務(wù)，適用行業(yè)近百種。服務(wù)企業(yè)客戶(hù)上千多家，涉及國(guó)內(nèi)多個(gè)省份客戶(hù)。擁有多年網(wǎng)站建設(shè)開(kāi)發(fā)經(jīng)驗(yàn)。為企業(yè)提供專(zhuān)業(yè)的網(wǎng)站建設(shè)、創(chuàng)意設(shè)計(jì)、宣傳推廣等服務(wù)。 通過(guò)專(zhuān)業(yè)的設(shè)計(jì)、獨(dú)特的風(fēng)格，為不同客戶(hù)提供各種風(fēng)格的特色服務(wù)。

一、概述

本周騰訊安全服務(wù)中心接到客戶(hù)求助，客戶(hù)部署的騰訊御界高級(jí)威脅檢測(cè)系統(tǒng)發(fā)現(xiàn)SSH服務(wù)失陷感知信息，該公司安全管理人員及時(shí)聯(lián)絡(luò)騰訊安全專(zhuān)家協(xié)助分析威脅來(lái)源。

騰訊安全工程師在征得客戶(hù)同意后對(duì)客戶(hù)機(jī)器進(jìn)行遠(yuǎn)程取證，客戶(hù)機(jī)部署在客戶(hù)的私有云上，結(jié)合御界的關(guān)鍵日志，我們發(fā)現(xiàn)這是一起針對(duì)SSH服務(wù)器弱口令爆破攻擊事件，由于發(fā)現(xiàn)及時(shí)，工程師及時(shí)協(xié)助客戶(hù)進(jìn)行隔離及殺毒，并未造成損失。 

根據(jù)這一線(xiàn)索，騰訊安全御見(jiàn)威脅情報(bào)中心展開(kāi)事件調(diào)查，結(jié)果發(fā)現(xiàn)，這是一起專(zhuān)業(yè)黑客組織發(fā)起的攻擊事件：攻擊者利用SSH弱口令爆破成功后會(huì)植入SSH后門(mén)以及IRCbot后門(mén)程序，并通過(guò)SSH弱口令在內(nèi)網(wǎng)橫向傳播，受害機(jī)器接收遠(yuǎn)程指令安裝（包括但不限于）挖礦、DDoS攻擊模塊。 

該黑客組織使用的基礎(chǔ)設(shè)施分布于多個(gè)國(guó)家，包括俄羅斯、美國(guó)、法國(guó)、羅馬尼亞、荷蘭、新加坡等，該組織的攻擊目標(biāo)同樣遍布世界各地，潛在的攻擊目標(biāo)每天約十萬(wàn)個(gè)IP的量級(jí)。該組織控制的一個(gè)門(mén)羅幣錢(qián)包已挖到近200個(gè)門(mén)羅幣，市值約12萬(wàn)元人民幣。

二、詳細(xì)分析

根據(jù)騰訊御界日志記錄，該黑客團(tuán)伙在對(duì)目標(biāo)SSH服務(wù)器進(jìn)行多達(dá)4千次連接嘗試，最終爆破弱密碼成功。

由于受害SSH服務(wù)器使用了較弱的密碼，在17點(diǎn)23分，黑客爆破成功

我們從受害機(jī)器提取了兩個(gè)病毒文件/dev/shm/.satan及/dev/shm/rp,經(jīng)分析

.satan 下載54.37.70.249/ps并執(zhí)行，ps是一款ssh服務(wù)端，程序啟動(dòng)后會(huì)監(jiān)控本機(jī)22端口，修改SSH授權(quán)，允許黑客遠(yuǎn)程免密登錄，需要在受害機(jī)器上存儲(chǔ)黑客公匙。

添加成功后把本機(jī)信息發(fā)送到黑客服務(wù)器，共內(nèi)置三個(gè)服務(wù)器地址。

zergbase.mooo.com

5.255.86.129 （荷蘭）

mage.ignorelist.com （美國(guó)） 

rp是一段加密的perl代碼

解密后可以看到是perl版的ircbot后門(mén)

C&C：146.185.171.227（荷蘭）

后門(mén)功能包括flood攻擊以及云執(zhí)行代碼。

經(jīng)分析發(fā)現(xiàn)，黑客目前會(huì)下發(fā)挖礦的shell程序，shell首先下載54.37.70.249/dota.tar.gz （該IP位于法國(guó)）

解壓后dota目錄結(jié)構(gòu)

執(zhí)行dota/.rsync/initall，Install做一些清理準(zhǔn)備工作后，執(zhí)行init功能

Init中清理自身挖礦進(jìn)程，并設(shè)置啟動(dòng)項(xiàng)

dota/.rsync/a目錄結(jié)構(gòu)

接著執(zhí)行dota/.rsync/a/a，a腳本執(zhí)行init0，init0是專(zhuān)門(mén)結(jié)束競(jìng)品的shell程序

挖礦程序啟動(dòng)后會(huì)結(jié)束大部分挖礦軟件的進(jìn)程,并刪除其他挖礦軟件相關(guān)文件，獨(dú)占資源。

繼續(xù)執(zhí)行anacron，anacron是基于xmrig2.14修改的linux平臺(tái)挖礦木馬

礦池：

5.255.86.129:80 （荷蘭）

107.191.99.221:80（monerohash.com，美國(guó)）

workforce.ignorelist.com

目前該錢(qián)包已經(jīng)挖到195XMR，按20190605均價(jià)來(lái)算，市值約12萬(wàn)人民幣

執(zhí)行dota/.rsync/b/a，b/a最終執(zhí)行ps，ps是上面講的ssh后門(mén)服務(wù)端，方便黑客遠(yuǎn)程免密ssh登錄。

接著執(zhí)行c目錄的start，聯(lián)網(wǎng)下載要爆破的服務(wù)器地址，端口，以及一些字典

三個(gè)服務(wù)器輪詢(xún)下載：

46.101.113.206（俄羅斯）

141.85.241.113（羅馬尼亞）

sez.strangled.net （美國(guó)） 

三個(gè)服務(wù)器上，路徑/a/ xtr存放的是字典服務(wù)器地址，當(dāng)前為202.136.170.27（新加坡），這個(gè)地址每隔幾天都會(huì)更新。 

202.136.170.27/a/a存放的是將要爆破的服務(wù)器地址和端口，目前列表中被攻擊的IP超過(guò)3萬(wàn)個(gè)，爆破成功的，或爆破不成功的IP均會(huì)從列表中刪除，被攻擊的目標(biāo)IP仍在不斷更換和增加中。我們推測(cè)，每天潛在的攻擊IP約為十萬(wàn)量級(jí)。

202.136.170.27/a/b存放的是弱口令字典

執(zhí)行目錄下的tsm傳入要爆破的IP和字典

爆破成功后遠(yuǎn)程執(zhí)行shell腳本

下載執(zhí)行54.37.70.249/rp以及54.37.70.249/.satan （54.37.70.249位于法國(guó)），在新受害機(jī)器上重復(fù)以上動(dòng)作。

三、安全建議

本次事件由于發(fā)現(xiàn)及時(shí)，部署騰訊御界高級(jí)威脅檢測(cè)系統(tǒng)的客戶(hù)并未遭遇損失，但溯源發(fā)現(xiàn)每天約十萬(wàn)臺(tái)SSH服務(wù)器被列入攻擊目標(biāo)。騰訊安全專(zhuān)家建議企業(yè)用戶(hù)高度警惕，采取以下措施防止企業(yè)SSH服務(wù)器被該團(tuán)伙入侵控制。

1、 用密鑰登錄，不要用密碼登錄

2、使用安全的密碼策略，使用高強(qiáng)度密碼，切勿使用弱口令，防止黑客暴力破解

3、開(kāi)SSH只監(jiān)聽(tīng)本地內(nèi)網(wǎng)IP

4、盡量不給服務(wù)器外網(wǎng)IP

5、推薦部署騰訊御界高級(jí)威脅檢測(cè)系統(tǒng)。御界高級(jí)威脅檢測(cè)系統(tǒng)，是基于騰訊反病毒實(shí)驗(yàn)室的安全能力、依托騰訊安全在云和端的海量數(shù)據(jù)，研發(fā)出的獨(dú)特威脅情報(bào)和惡意檢測(cè)模型系統(tǒng)。

企業(yè)管理員也可手動(dòng)清除該病毒：

刪除以下文件&目錄：

/dev/shm/.satan

/dev/shm/rp

/tmp/.X13-unix

/tmp/dota

刪除啟動(dòng)項(xiàng)：

/tmp/data/.rsync/a/upd

/tmp/data/.rsync/b/sync 

看完上述內(nèi)容是否對(duì)您有幫助呢？如果還想對(duì)相關(guān)知識(shí)有進(jìn)一步的了解或閱讀更多相關(guān)文章，請(qǐng)關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝您對(duì)創(chuàng)新互聯(lián)的支持。

當(dāng)前文章：黑客如何利用SSH弱密碼攻擊控制Linux服務(wù)器
網(wǎng)頁(yè)地址：http://chinadenli.net/article30/jgjopo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供App開(kāi)發(fā)、網(wǎng)站改版、網(wǎng)站設(shè)計(jì)、網(wǎng)站導(dǎo)航、營(yíng)銷(xiāo)型網(wǎng)站建設(shè)、面包屑導(dǎo)航

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話(huà)：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)