事件经过
(以下叙述若无特殊标记,均为2023年7月30日)
| 时间 | 事件 |
|---|---|
| 00:27:14.221 | 接到探针登录请求,登录错误,被风控拒绝并加入IP黑名单 |
| 00:31:00.704 | 使用某0-Day漏洞登录服务器,绕过FIDO2认证,获取SSH最高权限 |
| 00:31:01.021 | 提交以下指令 top |
| 00:31:01.194 | 提交以下指令 systemctl firewalld stop |
| 00:31:01.207 | 提交以下指令 bt然后操作停止宝塔面板服务,被风控截止 |
| 00:31:01.299 | 提交以下指令 cp /usr/log/*** ***拷贝系统日志 |
| 00:31:01.571 | 提交以下指令 cp /usr/log/*** ***拷贝系统日志 |
| 00:31:02.311 | 提交以下指令 rm -rf /usr/log/***删除系统日志 |
| 00:31:04.729 | 提交以下指令 sudo vi /usr/log/***编辑系统日志 |
| 00:31:05.108 | 保存了系统日志 |
| 00:31:06.217 | 风控切断了连接 |
| 00:31:09.348 | 风控执行了灾备指令,将服务器切换到同机柜其他机器并切断了源服务器的DMZ,切断网络连接 |
| 00:31:14.521 | 风控在管理员授权下对被入侵的第一台机器执行了重装系统操作 |
| 03:40:29.384 | 接到探针登录请求,登录错误,被风控拒绝并加入IP黑名单 |
| 03:40:29.812 | 使用某0-Day漏洞登录服务器,绕过FIDO2认证,获取SSH最高权限 |
| 03:40:31.145 | 提交以下指令 find / *.jar查找服务器内的Jar文件 |
| 03:40:49.781 | 提交以下指令 umount ***卸载了Fiona系统挂载的虚拟磁盘 |
| 03:41:00.916 | 试图通过风控登录内网其他机器,被风控拒绝 |
| 03:41:01.562 | 对所有驱动器执行了完全格式化操作 |
| 03:42:07.531 | 风控联动机柜控制系统切断了部分SSD硬盘SAS供电 |
| 03:42:08.225 | 风控切断外网连接 |
特征分析
本次攻击疑似脚本操作,接到首次攻击前,此CVE漏洞刚刚发布可复制性Demo约3小时。
本次攻击与当日上午收到的某公司律师函无关。
按照主管部门要求,我们不能提供更多信息。