Skip to main content

SSH暴力破解入侵(蠕虫DDoS木马)完整处置流程

# SSH暴力破解入侵(蠕虫DDoS木马)完整处置流程
## 一、事件定性
告警核心信息:
1. 攻击源:`140.174.49.38` 境外IP暴力破解SSH成功,已拿到服务器权限;
2. 恶意产物:蠕虫DDoS木马 `kswpad`、`kal64`,篡改sshd、systemd服务、伪造getty登录进程;
3. 危害:被控服务器会对外发起DDoS攻击、挖矿、中继爆破其他主机,留存后门持续入侵。

---
## 二、紧急止损(第一步,阻断攻击链路)
### 1. 隔离服务器
- 若为云服务器:控制台**断开公网IP/加入安全组全拦截**;
- 物理服务器:临时断开外网网线,仅保留内网运维通道;
- 火绒/服务器防火墙:立即拉黑攻击IP `140.174.49.38`,同时启用仅放行国内IP规则,阻断境外SSH扫描。

### 2. 阻断SSH入侵入口
1. 临时关闭SSH服务
```bash
systemctl stop sshd
systemctl disable sshd
```
2. 禁止密码登录(修复漏洞根源)
```bash
sed -i 's/#PasswordAuthentication yes/PasswordAuthentication no/' /etc/ssh/sshd_config
sed -i 's/PermitRootLogin yes/PermitRootLogin no/' /etc/ssh/sshd_config
```
3. 修改SSH默认22端口(规避批量扫描)
```bash
sed -i 's/#Port 22/Port 22222/' /etc/ssh/sshd_config
systemctl restart sshd
```

### 3. 查杀恶意进程
```bash
# 杀死木马进程
pkill -f kswpad
pkill -f kal64
pkill -f bsd-port/getty

# 验证进程是否残留
ps aux | grep -E "kswpad|kal64|bsd-port"
```

---
## 三、彻底清除木马文件(对应告警恶意实体)
### 1. 删除木马本体
```bash
# 恶意配置文件
rm -rf /etc/kswpad
# 临时木马程序
rm -rf /tmp/kal64
# 伪造登录后门程序
rm -rf /usr/bin/bsd-port/getty
# 篡改的sshd后门(替换为官方原版)
rm /usr/bin/sshd
# 恢复官方openssh
yum reinstall openssh-server -y  # CentOS/RHEL
apt reinstall openssh-server -y   # Ubuntu/Debian
```

### 2. 清理恶意systemd自启服务
告警中 `/lib/systemd/system/` 下恶意单元,批量清理:
```bash
# 查找木马相关自启文件
find /lib/systemd/system -name "*ksw*" -o -name "*kal*"
# 删除匹配到的恶意service文件,执行daemon-reload刷新
systemctl daemon-reload
```

### 3. 清理定时任务(蠕虫会写入crontab持久化)
```bash
# 查看所有用户定时任务,删除恶意脚本
crontab -l -u root
rm -rf /var/spool/cron/root
# 系统级定时任务
ls /etc/cron.*
```

---
## 四、账号安全排查(暴力破解成功,账号已泄露)
1. **禁用root远程登录**,所有业务账号重置高强度密码(大小写+数字+符号,16位以上);
2. 检查是否新增恶意后门账号:
```bash
cat /etc/passwd | grep "/bin/bash"
```
异常账号直接删除 `userdel -r 用户名`;
3. 清空所有SSH密钥文件,重新部署可信密钥:
```bash
rm -rf /root/.ssh/authorized_keys
```

---
## 五、日志溯源,确认入侵范围
```bash
# 查看SSH登录记录,确认入侵时间、操作
journalctl -u sshd --no-pager
# 查看系统登录日志
last
# 查看恶意程序操作日志
cat /var/log/messages | grep -E "kswpad|kal64"
```
重点确认:黑客是否横向扫描内网、是否窃取业务数据、是否上传其他木马。

---
## 六、长期加固方案(杜绝二次入侵)
### 1. SSH基础加固
- 关闭密码登录,仅使用密钥认证;
- 更换非标准SSH端口;
- 限制SSH登录来源IP(仅办公内网/运维出口IP放行)。

### 2. 防火墙/主机防护(你之前配置的火绒规则落地)
1. 服务器防火墙:仅放行国内IP入站22端口;
2. 火绒IP协议控制:放行国内网段,拦截全部境外IP入站;
3. 安装fail2ban自动封禁爆破IP:多次SSH失败自动拉黑IP。

### 3. 系统基线加固
1. 定期更新系统补丁 `yum update / apt update`;
2. 禁止root直接登录SSH;
3. /tmp目录挂载限制执行权限,防止木马落地;
4. 监控 `/tmp`、`/etc`、`systemd` 目录文件变更告警。

### 4. 告警联动优化
安全平台配置规则:SSH暴力破解成功立即触发阻断脚本,自动拉黑攻击IP;同时监控 `kswpad/kal64/bsd-port/getty` 恶意文件名,发现即隔离主机。

---
## 七、风险兜底判断
如果满足以下任意一条,建议**重装系统**(木马深度植入无法彻底清理):
1. 黑客篡改了系统内核、lib库、sshd二进制文件;
2. 发现rootkit内核级后门;
3. 溯源日志发现黑客已获取数据库、业务核心数据;
4. 多次查杀后木马自动复活,存在多层持久化后门。

No Comments
Back to top