绿蚁新醅酒，红泥小火炉。

晚来天欲雪，能饮一杯无？

——白居易

01 事件背景

2023 年 9 月 19 日，收到一条服务器告警信息，有一台线上云服务器被标记为恶意服务器。

有点慌新公司刚入职两周，就碰上这种事儿，考验也来的太快了些，要是处理不好，试用期岂不是都过不了。

想到这里，打起十二分精神，撸起袖子，准备开干！！！

02 处置思路

STEP1：确认威胁状态及原因登录云服务器管理平台，各大威胁情报平台，确认服务器目前状态。

是否还处于恶意服务器的状态？

何时被打上标记？

因为何事被标记？涉及远控？钓鱼？恶意扫描？还是其他。

STEP2：确认服务器状态、用途及影响范围与运维同事共同确认服务器当前的状态。历史服务器？测试服务器？正式环境线上服务？仅内部使用？

用途及安全事件影响范围。比如服务器都具有包含什么业务，是否可以外发数据？都可以与哪些服务器通信？如果中了远控马，都有可能扩散到哪里？都有可能泄露什么数据？等等。

STEP3：应急处置备份服务器。

尽可能的阻断通信。比如，下线服务器、网络隔离。如果有核心业务运转，仅保持必要程序的运行，对于其他非必要的服务，一律下线隔离，并时刻监听通信端口异常。

STEP4：木马排查、清理多角度排查系统文件。端口、进程、服务、日志、账户、程序、任务等

STEP5：漏洞修复、服务加固木马文件入口定位。分析木马文件是通过什么漏洞侵入，并完成漏洞修复和服务器加固，防止被再次攻击。

STEP6：恢复服务、评估影响恢复服务器状态，监控木马文件是否会复活，如不会，评估此次事件造成的影响与损失。

STEP7：事件归档梳理此次事件背景、成因、排查过程、影响以及后期改进措施等，输出事件响应报告，归档至经验文库。

03 开始排查

了解一下情况

微步情报社区，有点小意外，忘了保存当时的截图，这是 21 号的截图，状态已经更新了，原本是被标记为 CS 远控木马的。

奇安信威胁情报中心。标记为 CobalStrike 远控木马。

360 安全大脑，发现 3 个危险样本。

运维老哥帮帮忙

将运维老哥拉过来，了解到这台机器是一台 Linux 测试跳板机，部署的是开源 JumpServer 2.27 版本。

没那么慌了话说，一听到“测试”、“跳板”。顿时就不慌了，测试跳板机嘛，内部用的，一时半会儿也不会影响到线上业务。直接先安排下线，再慢慢排查。

运维老哥别闲着

服务器安全，哪能让运维老哥闲着，当然是喊过来一起排查。

登录机器，一步一步来。

1. 检查部署的软件。同时也是确认一下运维老哥的记忆，万无一失嘛。
2. 结果：只有 jumpserver、nginx、docker、jumpserver 所依赖的服务，没有其他软件。
3. 既然标记的是 CS 远控，那么先从通信矩阵排查。
4. 结果：由于服务本身就不多，端口通信排查起来很明显，没有异常，但开放了 80/443/22 等常用的风险端口，如有必要，需要针对这几个端口的权限再进行确认；
5. 排查进程。
6. 结果：进程和端口这玩意，运维老哥比我专业多了，很快就确认，都是正常进程，并无异常。
7. 分析：进程、端口无异常。但情报分析是远控马。那目前情况：
8. 后门植入，目前木马未上线，所以未发现通信；
9. 端口和进程做了隐藏处理？（比较麻烦）
10. 误报？？？（当时还真没往这儿想，可能是太激动了，想着来到新公司碰到的第一个大活儿。）
11. 检查常见后门。
12. 结果：用户列表无异常、无隐藏账号、定时任务无异常（只有一个定时清理日志的任务）、无自启服务、ssh 认证正常
13. 检查日志。
14. 结果：系统登录日志正常、nginx 日志正常、系统认证授权日志正常、jumpserver 日志正常。

04 完蛋。抓耳挠腮

没有痕迹就让人有点摸不着头脑了。由于当时排查的时候忽略了“误报”这个可能，所以当时的思路就转变为：1. 难道是日志被清理了？2. 会不会是开源 jumpserver 的nday 漏洞？

研究 jumpserver 开源漏洞的这事儿，纯纯浪费时间。

第二次排查日志倒是让我从运维老哥那里了解到一个新信息。

我一直以为，所有的日志都是 2022 年 10 月 26 日开始，是和那个清理日志的定时任务有关。后来运维老哥才告诉我，这台机器是 2022 年 10 月 26 日才开始部署使用的。

05 误报的可能别忽略

收获大佬的提醒

别激动，别紧张，别忽略误报的可能，确认不是误报再下手，不然就是瞎耽误功夫。

我重新从威胁情报开始下手，这次选择重点确认被标记的原因。

360 威胁情报平台，通信样本中发现，恶意通信样本类型为 Win64/Heur，而我们的机器是 Linux，果然有猫腻。

但是微步威胁情报平台和奇安信威胁情报平台看不到样本，只能看到标记 CobalStrike 远控。

联系了 WB 的朋友帮忙确认标记原因。

06 去特喵的虚惊一场

次日，WB 的朋友回信：

TO wo

此 IP 于 2022 年 10 月 16 日之前，为一台 Windows 服务器，多次运行过名为 test.exe 的程序，有足够的证据证明此文件为Cobal Strike 远控端木马，同时，C 段下还有 6 台服务器被感染。

但该 IP 于 2022 年 10 月 22 日更换属主（也就是我们公司，与运维老哥所说的 10 月 26 日部署 jumpserver 作为测试堡垒机使用的情况，时间基本吻合），现足以证明该 IP 已非原攻击者所有，改判定为安全，将威胁情报更新为“过期”。

FROM Peiqi

微步威胁情报平台已更新状态为“过期”

同时，反馈至奇安信威胁情报平台，确认误报，已更新状态