本文共 1634 字,大约阅读时间需要 5 分钟。
通过分析wireshark中的SSH数据包,可以看出攻击者尝试了多次短暂的SSH会话。这些会话通常是暴力破解的结果,传统的单次密码或弱密码可能会导致系统被入侵。
从wireshark的数据包分析可以看到有51次短暂的SSH会话尝试。这些尝试很可能是失败的,尤其是在默认密码或弱密码的情况下。第52次和第53次会话则被认为是成功的登录尝试,这进一步支持了攻击者使用暴力破解工具如Hydra的可能性。
shadow.log文件显示有12个用户,包括root用户。sudoers.log文件显示有5个非root用户可以通过sudo命令进行登录。这意味着这些用户有不同的权限级别,这些凭证可能被用来进行未经授权的访问尝试或正常业务操作。
从wireshark分析中可以看出,恶意软件通过HTTP协议传输三个文件:1、2、3.文件3是一个Bash脚本,用于执行恶意操作。文件1是一个ELF64可执行文件,文件2是一个ELF可重定位文件。文件2是用于隐藏进程的内核模块,文件1是用于传输紧急包的dropper。文件3则负责安装和隐藏这些恶意组件。
根据分析,恶意软件将文件保存在/var/mail/目录下。这是默认的恶意软件安装路径之一,能够隐藏文件并避开常规扫描。
ps.log文件丢失了与恶意软件相关的信息,因为恶意软件使用内核模块隐藏了进程。这表明攻击者不仅成功侵入系统,还试图隐藏入侵证据。
从wireshark分析中可以看出,害恶意软件发送了多个HTTP请求,文件名是用base64编码的字符串表示。例如,文件名包含“/n/bsmHSxbNLOQx6jycBS677vZFxEnvFJXHkxni3GEWa7Ed8KLspb9BewBM4jGbT9cnUCokUmCLXrBRWQJIN05YuSIlL5nUQrjwdOvvWbeVejwvudZ2BGjLFlmL9ucVX9s1VezUOZhbLh9Qz1Huwku/U2JsT3QpORfz4ZpgWA31vZE=”等内容。通过反向分析可以发现这些文件名对应的是恶意软件的不同组件。
通过分析恶意软件组件,可以看出它们连接到了某个远程服务器。具体IP地址和域名可以通过wireshark中的数据包进一步确认。
为了提取私钥,我们需要分解HTTP请求中的公钥。由于密钥生成代码是基于质数生成的,质数较小的公钥更容易分解。在这里,我们可以使用提供的factor.py
脚本来进行私钥的分解和提取。例如,对于第一个文件名:
bsmHSxbNLOQx6jycBS677vZFxEnvFJXHkxni3GEWa7Ed8KLspb9BewBM4jGbT9cnUCokUmCLXrBRWQJIN05YuSIlL5nUQrjwdOvvWbeVejwvudZ2BGjLFlmL9ucVX9s1VezUOZhbLh9Qz1Huwku/U2JsT3QpORfz4ZpgWA31vZE=
我们将其转换为素数并分解公钥,以便提取对应的私钥。
根据分析,这次攻击的效果是成功安装并运行了恶意软件。恶意软件通过Reverseconnect进行通信,发送了多个HTTP请求,并尝试连接到远程服务器。
通过对日志和数据包的深入分析,可以看出攻击者通过暴力破解成功入侵系统,利用内核模块隐藏进程,并随后安装了恶意软件进行后门通信和数据窃取。这次攻击对系统安全性构成了严重威胁,管理员需要及时清理已删除的文件,并加强系统防护措施。
转载地址:http://heegz.baihongyu.com/