0x01 事件描述
这次更新两篇文章,都是关于服务器取证的,也是我工作中的实例,两次取证先有了第一次取证,获取了攻击者的信息,第二次进行跨省取证。(具体详情就不多说了)
最近攻击者落网了(境外回来),才想把这次取证再次分享出来。
某单位直接被攻击者打了50多G的流量。所以事先电信方面进行了地址筛选,选出了一批地址,开始进行排查。
取证流程
直接去了地市电信IDC机房(期间历经各种流程),找到对应的服务器,服务器是台linux服务器 。
1、通过netstat命令查看服务器状态,发现本地端口对外连接,对外异常ip为122.224.32.32,端口为6009。
2、通过webshell漏洞扫描工具(hm)对/home目录下的文件进行扫描,发现异常木马文件,由于网站在2015年就不用了所以这个木马文件应该是之前留下的。
3、webshell本地访问
4、查看本地初始化程序,发现异常文件/etc/rc.d/rc.local,该异常文件首先建立一个local文件,之后将系统防火墙关闭,通过nohup命令隐藏/etc/udisks-daemon命令执行的结果,以便达到隐藏的目的。文件内容如下:
5、发现了/etc/udisks-daemon异常文件之后,找到/etc/udisks-daemon文件,发现该文件的权限为777任意权限。
6、进一步分析还发现存在另外一个文件udisks-daemon_xmit.ini。
疑似用来进行端口的初始化操作。,内容如下:
7、将病毒文件udisks-daemon拉取到本地进行分析,利用wireshark进行抓包分析,同样的,向外连接的ip地址为。
8、通过strace对病毒文件进行信号跟踪,发现病毒的向外连接的地址为122.224.32.32,端口为6009。
9、反编译分析
10、结合互联网上(微步https://x.threatbook.cn)的威胁情报信息对122.224.32.32地址进行查询分析,已经有用户举报此IP地址存在远控(作为服务端控制肉鸡的行为)行为。
11、对ip地址进行定位。
0x03 结论
至此分析完成,这台服务器同样为肉鸡。
ip:122.224.32.32(控制端)