Bit資安事件 === ###### tags: `cybersecurity` `web` `Linux` ## 追查 2023/01/25 過年期間發現網頁伺服器無法連出去，當時以為是學校防火牆壞掉，等學校開始上班後 (1/30) 才收到計網中心寄送的通知信，告知我們的伺服器有攻擊行為。  收到當時先查了 Pfsense 的日誌資訊，系統日誌在攻擊發生的時間沒有偵測到任何攻擊行為。  本來想進一步搜尋防火牆日誌，結果發現 Pfsense 預設的日誌檔案儲存大小只能存大概兩天的流量資料。  接著去查看看bit 網頁伺服器的系統日誌，首先看了 `/etc/log/auto.log` 的資訊，但好像太晚發現所以也沒找到什麼資訊。  最後用了 `last` 指令查詢最近登入資訊，終於看到一些有問題的地方。在事情發生當天，有不正常的使用者 `user1` 登入。再去追查 `/etc/passwd` 發現這個使用者已經存在很久，很可能密碼被破解變成漏洞。  查詢之前裝的 OSSIM（開源資訊安全事件管理系統）日誌分析服務也在當天偵測到大量的攻擊事件。  結論是普通的日誌系統真的不容易看出攻擊行為，還容易有日誌消失的風險，裝分析日誌的軟體會比較容易抓到攻擊行為跟做出反映。 ## 處理 知道問題出在哪後，首先先把該使用者帳號停止，使用 `sudo usermod -e 'date +%Y-%m-%d' username` 講該使用者立即停止，接著輸入 `sudo chage -l username` 查詢該使用者的情況。  為了防止以後有類似的情況發生，建立群組 `sshclient` 限制該群組外的使用者使用 ssh 的權限。  首先修改可以使用 ssh 的使用者名單，在 `/etc/ssh/sshd_config` 內加入`AllowGroups groupname` 限制只有該群組的使用者能透過 ssh 連線到伺服器。  接著對內部人員使用 ssh 連線情況也加入限制條件，修改 `/usr/bin/ssh` 的群組將群組外的使用權限拿掉，這樣只有 root或群組內的使用者能使用 ssh 服務連線。  最後通報計網中心，請求計網中心解鎖網路。  2/2 收到計網中心回信，確認沒有攻擊行為解鎖伺服器外網連線。