《2015 春节 CC 攻击习科调查 IV》.pdf

2015 春节 CC 攻击习科调查IV 习科道展网络信息安全顾问 最具实力的网络安全专家 习科道展网络信息安全 - Silic Corporation 索引 1) 攻击源调查 1.1 服务器日志排查 1.2 攻击源 2) 攻击者调查1 2.1 突破点：马腾 2.2 删减 3) 写在后面 Silic Focus 习科道展网络信息安全 - Silic Corporation 1) 攻击源调查 习科服务器在春节期间频繁的出现不稳定的情况，在节后开始上班后，习科技术人员对 服务器进行了查看，除了春节前的攻击，又发现有大量来源不明的攻击行为。 对此，习科的技术人员对攻击源进行了追查。 1.1 服务器日志排查 其实早在春节前，服务器的监控就已经以Email 对的形式频繁的报告了DDoS和CC 攻击， 因为硬防会过滤掉 DDoS 攻击发送来的垃圾数据包，所以春节前开始的针对服务器的 DDoS 攻击并没有对服务器造成实质性的影响。 查看服务器上的监控情况发现春节后的CC 攻击才是造成服务器不稳定的实际因素。以 下截图来自服务器的日志监控，分别是CPU 对的占用率和硬盘读写速度。 硬盘为SSD 的存储，因此读写方面服务器还跟得上，但是CPU 占用率在60%左右，对 习科论坛的正常访问有明显的影响，带宽占用率说虽然只有10%，但测试下行速度发现只有 20KB/s 而已。因此调取网站容器的日志，查看是否有挂起连接的攻击行为。 日志调取后，发现有大量的ip 对论坛()发起访问请求，而网站容器返回 Silic Focus 习科道展网络信息安全 - Silic Corporation 状态499 ，说明只是单纯的挂起连接，没有实质的数据交互。 这次的攻击源的肉鸡与春节前大带宽服务器肉鸡有明显不同，攻击不稳定，带宽不足。 因此怀疑这次的攻击源肉鸡可能以家庭网络为主，后面的深入调查也印证了这一点。 1.2 攻击源 对攻击源的ip 进行环境探测是，发现ip 设备开放22 和80 端口。使用浏览器访问ip 地 址，得到如下界面。 这里所看到的airOS 登陆界面是UBNT 一款无限路由的控制界面。 Silic Focus 习科道展网络信息安全 - Silic Corporation airOS 的管理面板存在多处漏洞，黑客批量抓的应该是较为通用的漏洞。经过验证应该 是使用内置密码ubnt/ubnt 登陆的SSH ，进而控制路由上的集成系统对外发起攻击的。 登陆UBNT 路由器内置系统后，使用netstat –an 命令查看端口对外有大量的80 的端口 HTTP 请求，68 是目前习科论坛所使用的主 ip 之一，明显是由该路由设备对习 科论坛发起的CC 攻击。 在这里非常值得注意的是，除了习科的技术工程师，还有一个来自中国东莞的 ip 也连 接了该路由的SSH ，这个5 的ip 疑似就是对习科论坛CC 攻击的发起者。 虽然这只是个路由设备，但是Linux 系统中最基本的一些文件和功能还应该都是具备的。 Silic Focus 习科道展网络信息安全 - Silic Corporation 不过大部分命令应该都是简化的。运行ps 命令后查看当前进行CC 攻击的进程，发现这样一 个奇怪的进程，