一起SSH暴力破解

事件起因

从安全分析系统里面发现一条带有病毒的下载，然后针对这条记录展开了一系列的分析

分析过程

1.登录到被感染服务器，查看系统状况，hadoop 这个用户在 2020/6/18 20:32 从这个IP 185.125.207.74 登陆过服务器，因为黑客登录的时候使用了自己的环境变量，所以找不到历史命令，lastb命令看登录失败的用户，发现有很多记录都是国外的IP。

2.查询单登录IP所在地，发现是德国的一个地址，正常情况下这台机器不会有国外的IP登录，所以有可能是黑客猜解了hadoop 这个用户的密码

3.查看hadoop 用户正在运行的进程，没有发现异常进程

4.进入hadoop 用户的家目录查看有没有异常文件，发现在家目录下有一个 .sw 的隐藏文件，里面残留了黑客使用的程序和脚本，还有留下来的日志文件。

5.分析脚本和日志文件得出，黑客攻陷了这台服务器后对局域网进行了扫描，扫描了内网中UP的主机，并对其进行SSH的密码猜解，并有两台主机已经被横向猜解出SSH的密码。

6.登录到被横向感染的机器上，发现机器CPU资源消耗极高，存在一个python的挖矿进程，在消耗大量的CPU资源，然后把结果发往美国的一个服务器。

7.下载服务器上残留的程序，放到开源的威胁情报检测中心检测，均报高风险

反思

1.系统允许登录的用户不能设置弱密码

2.重要的服务器需要和外网映射的服务器隔离

3.SSH服务需要增加防护措施（密码猜解次数限制）

4.尽量不要直接映射端口到外网，如需外部访问可通过VPN或者堡垒机这种安全的方式

5.修改SSH的默认端口，不要使用22