某公司线上服务器意外发现一个Apache Shiro 反序列化漏洞可以直接GetShell。出于做安全的谨慎马上出现场应急，确认漏洞该漏洞存在在cookie字段中的rememberMe字段中，可以RCE

来到现场后发现已经升级了，漏洞确认修复完成只能查看以前的攻击痕迹。

首先查看账户文件/etc/passwd修改时间和内容没有什么问题

查看最近修改过的文件没看到特殊异常

看到异常 perl nc2.pl 后面参数跟着一个灯塔国地址，马上想到是反弹的shell查问漏洞检测者，果真是确認无害后kill进程。

发现服务器对外连接很多22端口觉得异常，服务器主动对外发起连接22端口很少见，询问业务也没有这类业務看相关进程号，查看进程名ddg.2020明显是一个矿马，经排查服务器上还启动redis和memcached都是未授权访问。目测是对外发起6379未授权漏洞的利用，寫了root下的id_rsa.pub然后尝试22登录看下自己的root下的.sshd，果真有id_rsa.pub不正常因为都不适用root登录遂删除。查看进程目录/tmp下面的，没有这个文件样板全盘搜，只有ddg.2020.db没有ddg.2020随机google，发现该样本会删除自己的文件并启动定时任务去下载自己。

没有发现问题还有一个地方

查看进程运行时间对应的操作

history #只有四百多条，很明显不对
 

 发现那天的登录日志被清理
查看VPC内其他主机，都不存在该蠕虫那么肯萣就是通过getshell打进来，然后种了样本之后离开的
 


 

 

 异常的发现在于明显区别于正常使用用途的网络连接。