# SSH暴力破解入侵（蠕虫DDoS木马）完整处置流程

\# SSH暴力破解入侵（蠕虫DDoS木马）完整处置流程  
\## 一、事件定性  
告警核心信息：  
1\. 攻击源：`140.174.49.38` 境外IP暴力破解SSH成功，已拿到服务器权限；  
2\. 恶意产物：蠕虫DDoS木马 `kswpad`、`kal64`，篡改sshd、systemd服务、伪造getty登录进程；  
3\. 危害：被控服务器会对外发起DDoS攻击、挖矿、中继爆破其他主机，留存后门持续入侵。

\---  
\## 二、紧急止损（第一步，阻断攻击链路）  
\### 1. 隔离服务器  
\- 若为云服务器：控制台\*\*断开公网IP/加入安全组全拦截\*\*；  
\- 物理服务器：临时断开外网网线，仅保留内网运维通道；  
\- 火绒/服务器防火墙：立即拉黑攻击IP `140.174.49.38`，同时启用仅放行国内IP规则，阻断境外SSH扫描。

\### 2. 阻断SSH入侵入口  
1\. 临时关闭SSH服务  
```bash  
systemctl stop sshd  
systemctl disable sshd  
```  
2\. 禁止密码登录（修复漏洞根源）  
```bash  
sed -i 's/#PasswordAuthentication yes/PasswordAuthentication no/' /etc/ssh/sshd\_config  
sed -i 's/PermitRootLogin yes/PermitRootLogin no/' /etc/ssh/sshd\_config  
```  
3\. 修改SSH默认22端口（规避批量扫描）  
```bash  
sed -i 's/#Port 22/Port 22222/' /etc/ssh/sshd\_config  
systemctl restart sshd  
```

\### 3. 查杀恶意进程  
```bash  
\# 杀死木马进程  
pkill -f kswpad  
pkill -f kal64  
pkill -f bsd-port/getty

\# 验证进程是否残留  
ps aux | grep -E "kswpad|kal64|bsd-port"  
```

\---  
\## 三、彻底清除木马文件（对应告警恶意实体）  
\### 1. 删除木马本体  
```bash  
\# 恶意配置文件  
rm -rf /etc/kswpad  
\# 临时木马程序  
rm -rf /tmp/kal64  
\# 伪造登录后门程序  
rm -rf /usr/bin/bsd-port/getty  
\# 篡改的sshd后门（替换为官方原版）  
rm /usr/bin/sshd  
\# 恢复官方openssh  
yum reinstall openssh-server -y # CentOS/RHEL  
apt reinstall openssh-server -y # Ubuntu/Debian  
```

\### 2. 清理恶意systemd自启服务  
告警中 `/lib/systemd/system/` 下恶意单元，批量清理：  
```bash  
\# 查找木马相关自启文件  
find /lib/systemd/system -name "\*ksw\*" -o -name "\*kal\*"  
\# 删除匹配到的恶意service文件，执行daemon-reload刷新  
systemctl daemon-reload  
```

\### 3. 清理定时任务（蠕虫会写入crontab持久化）  
```bash  
\# 查看所有用户定时任务，删除恶意脚本  
crontab -l -u root  
rm -rf /var/spool/cron/root  
\# 系统级定时任务  
ls /etc/cron.\*  
```

\---  
\## 四、账号安全排查（暴力破解成功，账号已泄露）  
1\. \*\*禁用root远程登录\*\*，所有业务账号重置高强度密码（大小写+数字+符号，16位以上）；  
2\. 检查是否新增恶意后门账号：  
```bash  
cat /etc/passwd | grep "/bin/bash"  
```  
异常账号直接删除 `userdel -r 用户名`；  
3\. 清空所有SSH密钥文件，重新部署可信密钥：  
```bash  
rm -rf /root/.ssh/authorized\_keys  
```

\---  
\## 五、日志溯源，确认入侵范围  
```bash  
\# 查看SSH登录记录，确认入侵时间、操作  
journalctl -u sshd --no-pager  
\# 查看系统登录日志  
last  
\# 查看恶意程序操作日志  
cat /var/log/messages | grep -E "kswpad|kal64"  
```  
重点确认：黑客是否横向扫描内网、是否窃取业务数据、是否上传其他木马。

\---  
\## 六、长期加固方案（杜绝二次入侵）  
\### 1. SSH基础加固  
\- 关闭密码登录，仅使用密钥认证；  
\- 更换非标准SSH端口；  
\- 限制SSH登录来源IP（仅办公内网/运维出口IP放行）。

\### 2. 防火墙/主机防护（你之前配置的火绒规则落地）  
1\. 服务器防火墙：仅放行国内IP入站22端口；  
2\. 火绒IP协议控制：放行国内网段，拦截全部境外IP入站；  
3\. 安装fail2ban自动封禁爆破IP：多次SSH失败自动拉黑IP。

\### 3. 系统基线加固  
1\. 定期更新系统补丁 `yum update / apt update`；  
2\. 禁止root直接登录SSH；  
3\. /tmp目录挂载限制执行权限，防止木马落地；  
4\. 监控 `/tmp`、`/etc`、`systemd` 目录文件变更告警。

\### 4. 告警联动优化  
安全平台配置规则：SSH暴力破解成功立即触发阻断脚本，自动拉黑攻击IP；同时监控 `kswpad/kal64/bsd-port/getty` 恶意文件名，发现即隔离主机。

\---  
\## 七、风险兜底判断  
如果满足以下任意一条，建议\*\*重装系统\*\*（木马深度植入无法彻底清理）：  
1\. 黑客篡改了系统内核、lib库、sshd二进制文件；  
2\. 发现rootkit内核级后门；  
3\. 溯源日志发现黑客已获取数据库、业务核心数据；  
4\. 多次查杀后木马自动复活，存在多层持久化后门。