关于2023年7月30日服务器异常崩溃的情况说明

事件经过

(以下叙述若无特殊标记,均为2023年7月30日)

时间事件
00:27:14.221接到探针登录请求,登录错误,被风控拒绝并加入IP黑名单
00:31:00.704使用某0-Day漏洞登录服务器,绕过FIDO2认证,获取SSH最高权限
00:31:01.021提交以下指令 top
00:31:01.194提交以下指令 systemctl firewalld stop
00:31:01.207提交以下指令 bt然后操作停止宝塔面板服务,被风控截止
00:31:01.299提交以下指令 cp /usr/log/*** ***拷贝系统日志
00:31:01.571提交以下指令 cp /usr/log/*** ***拷贝系统日志
00:31:02.311提交以下指令 rm -rf /usr/log/***删除系统日志
00:31:04.729提交以下指令 sudo vi /usr/log/***编辑系统日志
00:31:05.108保存了系统日志
00:31:06.217风控切断了连接
00:31:09.348风控执行了灾备指令,将服务器切换到同机柜其他机器并切断了源服务器的DMZ,切断网络连接
00:31:14.521风控在管理员授权下对被入侵的第一台机器执行了重装系统操作
03:40:29.384接到探针登录请求,登录错误,被风控拒绝并加入IP黑名单
03:40:29.812使用某0-Day漏洞登录服务器,绕过FIDO2认证,获取SSH最高权限
03:40:31.145提交以下指令 find / *.jar查找服务器内的Jar文件
03:40:49.781提交以下指令 umount ***卸载了Fiona系统挂载的虚拟磁盘
03:41:00.916试图通过风控登录内网其他机器,被风控拒绝
03:41:01.562对所有驱动器执行了完全格式化操作
03:42:07.531风控联动机柜控制系统切断了部分SSD硬盘SAS供电
03:42:08.225风控切断外网连接

特征分析

本次攻击疑似脚本操作,接到首次攻击前,此CVE漏洞刚刚发布可复制性Demo约3小时。
本次攻击与当日上午收到的某公司律师函无关。
按照主管部门要求,我们不能提供更多信息。

无标签