教研室服务器又一次感染挖矿病毒
教研室服务器又一次感染挖矿病毒
Gemini 2.5 pro撰写,人工审核,直接贴上来了
报告日期: 2025年7月8日
报告作者: Gemini (AI Assistant) & 梁思地
事件级别: 严重 (涉及内部网络横向移动)
涉及主机: kemove-SYS-7049GP-TRT (无公网IP)
受影响账户: **p
1. 报告摘要 (Executive Summary)
本日,系统管理员在检查服务器 kemove-SYS-7049GP-TRT 时发现存在异常挖矿进程。经过深入的日志溯源与分析,确认这是一起严重的内部网络安全事件。
攻击者首先攻陷了内部网络中的某些主机,并将其作为跳板。随后,这些已被攻陷的主机(以IP 1*1.48.***.*** 为首)对内网其他服务器(包括本机)发起了大规模的SSH暴力破解攻击。由于本机上的**p账户存在弱密码,攻击被成功执行,最终导致服务器被植入挖矿病毒。
此次事件揭示了当前内部网络存在严重的安全风险,包括但不限于:有主机已被外部势力控制、内部主机之间缺乏访问控制、多个账户存在弱密码等。目前,本机上的威胁已被清除,但定位并清理作为攻击源的内部主机是后续工作的重中之重。
2. 事件时间线 (Incident Timeline)
| 日期与时间 (CST) | 事件描述 |
|---|---|
| 2025年6月25日 18:41:18 | 【横向移动成功】 内部网络的受感染主机(IP 1*1.48.***.***)通过密码认证成功SSH登录本机的**p账户。会话仅持续8秒,表明为自动化脚本操作。 |
| 2025年6月26日 05:00 起 | 【内网持续扫描】 日志显示,多个内部IP(详见附录B)持续对本机进行SSH字典攻击,尝试破解更多账户。 |
| 2025年7月1日 03:38:22 | 【持久化建立】 攻击脚本在本机上被激活,通过crontab REPLACE命令,将**p用户的定时任务替换为恶意内容。 |
| 2025年7月1日 03:39:01 | 恶意的cron任务首次被系统执行,此后每分钟执行一次,持续启动挖矿程序。 |
| 2025年7月8日 (白天) | 【事件发现】 管理员通过htop发现本机异常进程,开始进行调查。 |
| 2025年7月8日 (晚上) | 【本机处置】 管理员在本机上完成威胁清除,包括:终止恶意进程、删除病毒文件、清除cron任务、封禁攻击源IP、删除被盗账户。 |
3. 根本原因分析 (Root Cause Analysis)
3.1 本机漏洞 (Vulnerability on This Host)
- 直接原因: 用户
**p的账户密码强度严重不足,成为本次内部横向移动攻击的突破口。 - 管理原因: 本机开启了SSH密码认证方式,为内部网络的暴力破解攻击提供了条件。
3.2 内部网络整体安全态势 (Overall Internal Network Security Posture)
- 根本原因: 内部网络中已有主机(如
1*1.48.***.***)被外部攻击者攻陷,并被用作攻击内网其他系统的“跳板机”。最初的失陷原因(例如,该主机暴露了某个危险服务在公网上)是整个事件链的开端,亟待调查。 - 核心风险: 内部网络缺乏必要的安全域划分和访问控制。不同服务器之间可以无限制地相互访问(例如发起SSH连接),使得攻击者在攻陷一台机器后,能轻易地将战果扩大到整个内网。
4. 已采取的措施 (Remediation Actions)
4.1 针对本机 (kemove-SYS-7049GP-TRT) 的处置
- 切断持久化: 移除了
**p用户的恶意cron定时任务。 - 终止进程: 杀死了所有挖矿程序及其守护进程。
- 删除文件: 删除了位于
/mnt/t8/**p/.cache下的所有恶意文件。 - 清理会话与账户: 终止了
**p的后台会话并彻底删除了该账户。 - 临时隔离: 在本机防火墙上阻止了所有已识别的内部攻击IP的访问。
4.2 待处理事项(亟待解决)
- 【最高优先级】 必须立刻对附录B中列出的所有IP地址对应的主机进行隔离、下线和安全排查,以确定它们是否已被控制,并清除其上的恶意软件或后门。
5. 安全建议与长期加固措施 (Recommendations)
5.1 针对全网所有主机的建议
- 【高优先级】禁用SSH密码登录: 在所有服务器上修改SSH配置,全面禁止密码登录,强制使用SSH密钥认证。
- 【高优先级】实施强制密码策略: 要求所有用户立即更换为高强度的复杂密码,并定期更换。
- 安装并配置Fail2Ban/DenyHosts: 在所有服务器上部署此类工具,自动阻止持续进行密码猜测的IP。
5.2 针对网络架构的建议
- 【高优先级】进行网络隔离与分段: 使用VLAN或防火墙策略对内部网络进行安全域划分(如开发区、测试区、核心生产区)。严格限制非必要的跨区域访问,尤其是服务器之间的SSH、远程桌面等管理协议的互访。
- 部署网络入侵检测系统 (NIDS): 在内部网络关键节点部署流量监控与分析系统,及时发现类似SSH扫描的异常行为。
- 建立统一日志中心 (SIEM): 将所有服务器的系统日志、安全日志统一收集到中央平台进行分析和告警,以便于及时发现跨主机的联动攻击。
- 【强烈建议】重装系统: 对于本次事件中所有被确认为攻击源或被攻击成功的服务器,最安全的做法是备份数据后重装系统。
附录A:关键日志证据
- 成功的密码登录记录 (
auth.log.2):1
Jun 25 18:41:18 host-compute-** sshd[...]: Accepted password for **p from 1*1.48.***.*** port 34742 ssh2 - 持久化建立记录 (
syslog):1
Jul 1 03:38:22 host-compute-** crontab[...]: (**p) REPLACE (**p)
附录B:已识别的内部攻击IP列表
在本次事件调查中,从失败登录日志 (btmp 及 btmp.1) 中识别出以下内部网络中发起攻击的主机IP。这些主机极有可能已被攻陷,必须立即进行排查。
1*1.48.***.***(本次入侵的主要攻击源)1*1.48.***.***113.54.***.***- …以及
btmp日志中出现的其他IP。
此列表表明服务器正面临来自一个或多个内部僵尸网络的持续性、分布式攻击。
教研室服务器又一次感染挖矿病毒
https://sidiexplore.xyz/2025/07/08/linux-malware-response2/