记一次内网SSH后门误报事件
本文章记录的是安全平台一次告警的误报分析过程,记录此文当作笔记。
发现告警
在安全平台发现了下载sh脚本的告警
点开查看告警完整信息
分析过程
下载该脚本发现,4台主机下载的都是同一个脚本,功能为记录登录过ssh服务的主机,如果登陆过,下次登录就可以不适用密码。超过25个SSH公钥添加到本地主机上,以便实现SSH免密登录到本地主机上。
脚本代码:
#!/bin/sh
# $1 DO_COPY_EAC (1 to do and 0 not to do, default is 1)DO_COPY_EAC=1
[[ $# -eq 1 ]] && DO_COPY_EAC=$1set -eif [ ! -d /root/.ssh ]; then
mkdir /root/.ssh
chmod 600 /root/.ssh
fiif [ ! -f /root/.ssh/known_hosts ]; then
echo "dev.auth.ihmi.net,52.192.20.104 ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDBlVQmx56Jq1MPiBLdDP8HmIzLnxmkbBVAUppg/XJzscWf5YPnFJEpKtL6xTGRQm/dUp/ov6UWSABJMRCNVoVNtoKZe1ZM0zlxkGWNAYC5hIdnWUqkDoyZa5FP4weWx5985czZIMZjkMxt0EyBrjyujc78XLdKLnBqjxIjp43dMQ1Wyt323hZKXwLneJ7YxnSta4H7zg3/EBg69ICzDu85M2qjqWHN6Ql4b0cvac+5CDSivepAs4Tbs6GwmQ2Yj7R7+/JS/6OQxQKWT+Q3eCL5Za3q1Btl96oiWKHyp9zeKxGwfrEnPUz8fgovdXWJKrJoj8aoMzZ5u4ATTq3gkI0P" >> /root/.ssh/known_hosts
echo `date` "/root/.ssh/known_hosts ready"
fiif [ ! -f /root/.ssh/upload_rsa ]; then
echo "-----BEGIN RSA PRIVATE KEY-----" >> /root/.ssh/upload_rsa
echo "MIIEogIBAAKCAQEAqWzRbIy2kgBICkKzDuj3AJvXpib7rm6GeOyC9EID0GK1Vjga" >> /root/.ssh/upload_rsa
echo "sSH045p/27e5oCVAqZ2aOej0shXgdI+OWo3Juf+zM1U/mVvWDBGpIOEsvf4jTZk8" >> /root/.ssh/upload_rsa
echo "Mbq8SLsKMe08AQkSCmZLjC2DYSVJKikfvgeFX30K4gO5eShraIx9J52iwsNsc3Ey" >> /root/.ssh/upload_rsa
echo "+Hd+/wkMx+TwFXw+AxXP0xdX2xm8onYUFK+zvHM1PlRwWEwqSNjEXbfuaN8c/mNc" >> /root/.ssh/upload_rsa
echo "2FG8MpH8P+G6KuD1/0JOp2wFd2A212sL8h6Z3hvcQAN7FB2y8aroYDJDv2ZOIwGK" >> /root/.ssh/upload_rsa
echo "qSuci5ss1/6sbxsc4HUvob9RYyQEWMKxwXXCZQIDAQABAoIBAGOl/x8LPC5vP+/Y" >> /root/.ssh/upload_rsa
echo "/xvb5btT7ehpsUoM88aXxQYI9dlQ1Tsa0IgyYqijrGP8kY8hmgCpE5bP72v29gdY" >> /root/.ssh/upload_rsa
echo "j++uyWE+hZXBpCB9JU3/7SvLhNdSbE0tvXu6Sxez+vEWiV5KiXPYasLN2iH/HiNQ" >> /root/.ssh/upload_rsa
echo "AL1yCv34u7fnXOVn4pShXNM6IgrOlNBjn4Pg8RGWQtNlVOmaFJy1VlpR49y1R+Np" >> /root/.ssh/upload_rsa
echo "RD1tJpape8nUSdSgleMvHnoepKcZCorwJk/1fw0QxZKkbws+4vVPYkqNsYZftGaM" >> /root/.ssh/upload_rsa
echo "Ww8+KDWtiitZXFS3sBC1NfRLw8PvL/Eikw7AI+D759VKs+4oJzucbWwT+GvwrQfw" >> /root/.ssh/upload_rsa
echo "3t2U2FkCgYEA3GSch1lzpuKaxjliU16k6EiJvMlGzLUyH7wiJsVMoHFstmU1IaBe" >> /root/.ssh/upload_rsa
echo "spVOxjeIDinhrJhAZrR/c4nZ2UanTUYLKPH8c17jRIQzl2xBRnRrc02Pk83zTPCb" >> /root/.ssh/upload_rsa
echo "FeFpBWvBzUVbanQ6/tReDaoytk87YK9oPJczL7UfTS64UUaoqyGdkRsCgYEAxMww" >> /root/.ssh/upload_rsa
echo "GMT80xYt0xdgHVbF628q3RKNmMyA8ihZYBG0ocCvKGvbcqEQqeYPa8pr+cObmaEH" >> /root/.ssh/upload_rsa
echo "LcSIGxT5vHyznrhMXLe3RJ3ZlEd/s6ImKT9r/CCJGJux2QIu92JWN9lDtmizvdZ5" >> /root/.ssh/upload_rsa
echo "elsEnHzpXhKU+9w0AKhx4KBphuUnnlhr74ySsn8CgYAWhJEZoyIV4wE9T4+kRP9E" >> /root/.ssh/upload_rsa
echo "XGT2TPpW4AyHAYnbvDzgB7a7zAtprCEAzhCGYBYenFjacZPi6n47J9KCSJ2/X3C0" >> /root/.ssh/upload_rsa
echo "dkT85K0Dyx4aUo04zZxM45fP2jMJoWu3CJjaXPAoMPXuIoIEl14kt0cHKYE/l6xm" >> /root/.ssh/upload_rsa
echo "xGwOa8sO778VTsrc8UpQEQKBgCRAGHv3jTq00ywXGjVNTpfXmmWujTagNQBmPlBb" >> /root/.ssh/upload_rsa
echo "8pH5FEq1026CDLe/EQgh+VHAnmDmMJRVp1yVuIrnzY5nFGnfzXpuOS3/HZ7RN4ZR" >> /root/.ssh/upload_rsa
echo "kGqY86f8xf3bURtwmcEf3EE1eCZ341iOe4L332Tct2TNYybb4F4oLkgS3gFk+Dzg" >> /root/.ssh/upload_rsa
echo "AAWxAoGAJJS9zbGIaoFIjx+dZJtqHpbf72D0f6YsdDn2+nMw0Sw+fxy/3qzFU8qX" >> /root/.ssh/upload_rsa
echo "qdeV0LwfQf1ZE+Ws6bQoA1J7xEKkPmL7U98eQs6W5gmI2a8wD98HCrnnsJyIIiWz" >> /root/.ssh/upload_rsa
echo "mCMiOJtzobLZS39yoxegePlH0mRFLTwqts60CfIZSVMQLaSYQyQ=" >> /root/.ssh/upload_rsa
echo "-----END RSA PRIVATE KEY-----" >> /root/.ssh/upload_rsa
chmod 600 /root/.ssh/upload_rsa
echo `date` "/root/.ssh/upload_rsa ready"
fiif [ $DO_COPY_EAC -eq 1 ]; thenecho `date` "downloading eac..."scp -i /root/.ssh/upload_rsa upload@dev.auth.ihmi.net:easy_access_client .chmod +x easy_access_clientecho `date` "move to /mnt/project..."mv easy_access_client /mnt/project/easy_access_client.activeecho `date` "done"
fi
一开始以为是有病毒向恶意IP发起请求下载脚本后门,在微步平台查询一下这个域名account.ihmi.net,可以看到确实存在两个sh脚本和一个exe程序
用google搜索这个域名account.ihmi.net,同时访问这个域名发现页面是EasyAccess
得出结论
这里我没下载使用这个软件,但我猜告警中的sh脚本应该是程序自带的,微步显示的setup.exe应该就是安装程序,初步判定为告警误报。以后有机会再整一个试试。
记一次内网SSH后门误报事件相关推荐
- ssh连接linux_使用内网穿透访问内网ssh图文教程
使用内网穿透访问内网ssh图文教程 穿透内网Linux系统22端口(SSH)教程 此教程可实现在外网SSH连接处于内网的Linux设备 1.下载网云穿linux版本 可使用wget下载或直接在官网下载 ...
- 内网安全-记一次内网靶机渗透
所涉及到的知识点: 1.WEB安全-漏洞发现及利用 2.系统安全-权限提升(漏洞&配置&逃逸) 3.内网安全-横向移动(口令传递&系统漏洞) 实战演练-ATT&CK实战 ...
- 记一次内网渗透测试实训总结
原文连接 前言 时间很快就来到了学期的最后一个月,和上学期一样,最后的几周是实训周,而这次实训恰好就是我比较喜欢的网络攻防,因为之前学过相关的知识,做过一些靶场,相比于其他同学做起来要快些,不过内网渗 ...
- FRPS实现内网SSH服务器登陆
工作需求要经常拨VPN访问内网centos服务器,因此找了之前配置的frps软件来实现不用拨VPN直接访问. 软件: frp_0.24.1_linux_amd64.tar.gz 外网服务器是: 阿里云 ...
- 记一次内网jenkins自动发布血泪史
我们公司开发环境为内网环境,因此在开发或者测试流程上都有不可预知的问题等着.这次我使用vue3开发前端,需要在jenkins上设置自动化部署,使测试可以一键点击部署. 环境介绍 开发环境 操作系统:w ...
- 简单记一下ngrok内网穿透入门步骤(可以直接使用ip,不一定要域名)
内网穿透步骤: 1.安装go语言环境并配置环境. 2.下载ngrok源码(可上传源码或安装git下载源码 yum install git) 3.生成证书(本地生成) 4.用新证书替换旧证书 5.编译源 ...
- 【安全学习】记一次内网环境渗透
注意: 本文仅用于技术讨论与研究,对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的.我将使用Kali Linux作为此次学习的攻击者机器.这里使用的技术仅用于学习目的,如果列出的技 ...
- frp内网穿透教程2022最新(含内网ssh配置与msf联动配置)
1.frp简介 frp是一个高性能的反向代理应用,可以帮助您轻松地进行内网穿透,对外网提供服务, 支持tcp, udp, http,https等协议类型,并且web服务支持根据域名进行路由转发. 1. ...
- 记与公司内网微博的谈话
谨以此文纪念那些公司内网的交流平台. 论坛,网站,邮件,微博. 可以说这是公司内部员工互动交流的四大天王. 但都出现种种的问题. 下边是我与第一家公司微博平台的对话. 我:看你简洁明了,一定很受欢迎吧 ...
最新文章
- matlab java错误_Matlab启动时大量java错误的处理方法
- 继续- 管理百人研发团队的烦恼(下)
- python 查看当前系统Python版本
- 转:Windows Phone 7 设计简介
- 配置Maven环境变量-Eclipse/Idea添加Maven
- wampserver橙色如何变成绿色_实验室如何自建数据库和网站主页
- JavaScript中的“ this”关键字
- CSS:transform
- niceScroll滚动条出现在div的左侧(PS:原本应该出现在div右侧)
- 【CRM】开源CRM
- 考研计算机专业课961考什么,北航计算机考研(961)经验谈
- 56款超赞的国外html表单模板
- 程序员是一群什么样的人,1024程序员节调查报告」这群IT人有点东西哟
- 大数据解决方案:解决T+0问题
- Spring Data Elasticsearch 基本语法及使用
- 王者荣耀无限火力服务器,王者荣耀无限火力8.0
- 64B/66B编码技术
- Mac用 AVC全能视频转换器免费版
- 支付宝花呗不推荐使用,因为我已经帮你算好账了
- 设备管理器下有PCI STANDARD ISA BRIDGE 驱动×××叹号