舍友服务器被入侵的一次复盘演练记录
2023-8-29 15:39:8 Author: www.freebuf.com(查看原文) 阅读量:47 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

事情背景

某天舍友的手机收到服务器被入侵的提醒短信:

作为一个安全从业者,职业病犯了,肯定是要来复盘总结一下的,正好国光哥最近一直催去他的社区发些文章,这不素材就来了嘛?

做个笔录

大致问了一下,他表示说并没有什么服务,tmp下面也没有通知中的恶意文件

image-20230724142905720

大概率因为这个文件,当时会对外发起很多请求,导致舍友没法正常使用。目前知道舍友服务器上有一些服务,并且都是 docker 容器运行的。看样子攻击者很可能是通过服务拿到 docker 容器并且实现了逃逸。

遏制恢复

先登陆服务器看一下,使用 top 命令看到占用 CPU 最高的为 Sofi 进程 PID 为 20436(当时截图已经没有了)

查看 PID 为 20436 的进程相关文件 :

发现告警中的 tmp 目录下并没有此文件,很可能是运行之后把文件给删了。我们直接 kill 掉了此进程。服务器下并没有其他后门了,服务器暂时恢复正常。

跟踪总结

接下来我们完全以黑盒的角度去模拟一下攻击者。看看服务器到底是怎么被入侵的?

信息收集

扫了一下端口,发现确实有很多服务

x.x.x.x:9000 open
x.x.x.x:9200 open
x.x.x.x:6379 open
x.x.x.x:3000 open
x.x.x.x:9010 open
x.x.x.x:8858 open
x.x.x.x:3306 open
x.x.x.x:8848 open
x.x.x.x:22 open
[*] WebTitle: http://x.x.x.x:9200 code:200 len:541    title:None
[*] WebTitle: http://x.x.x.x:3000 code:200 len:1746   title:YApi-高效、易用、功能强大的可视化接口管理平台
[*] WebTitle: http://x.x.x.x:8848 code:404 len:431    title:HTTP Status 404 – Not Found
[*] WebTitle: http://x.x.x.x:9000 code:200 len:23203  title:Portainer
elasticsearch 未授权访问漏洞

这个漏洞虽然有点危害,但是不至于 RCE 到服务器上执行命令:

image.png

YApi RCE

3000 端口的 YAPI 是存在漏洞的,YApi <1.12.0 版本存在远程命令执行


文章来源: https://www.freebuf.com/articles/web/376495.html
如有侵权请联系:admin#unsafe.sh