事件经过
(以下叙述若无特殊标记,均为 2023 年 7 月 30 日)
| 时间 | 事件 |
|---|---|
| 00:27:14.221 | 接到探针登录请求,登录错误,被风控拒绝并加入 IP 黑名单 |
| 00:31:00.704 | 使用某 0 -Day 漏洞登录服务器,绕过 FIDO2 认证,获取 SSH 最高权限 |
| 00:31:01.021 | 提交以下指令 top |
| 00:31:01.194 | 提交以下指令 systemctl firewalld stop |
| 00:31:01.207 | 提交以下指令 bt然后操作停止宝塔面板服务,被风控截止 |
| 00:31:01.299 | 提交以下指令 cp /usr/log/*** ***拷贝系统日志 |
| 00:31:01.571 | 提交以下指令 cp /usr/log/*** ***拷贝系统日志 |
| 00:31:02.311 | 提交以下指令 rm -rf /usr/log/***删除系统日志 |
| 00:31:04.729 | 提交以下指令 sudo vi /usr/log/***编辑系统日志 |
| 00:31:05.108 | 保存了系统日志 |
| 00:31:06.217 | 风控切断了连接 |
| 00:31:09.348 | 风控执行了灾备指令,将服务器切换到同机柜其他机器并切断了源服务器的 DMZ,切断网络连接 |
| 00:31:14.521 | 风控在管理员授权下对被入侵的第一台机器执行了重装系统操作 |
| 03:40:29.384 | 接到探针登录请求,登录错误,被风控拒绝并加入 IP 黑名单 |
| 03:40:29.812 | 使用某 0 -Day 漏洞登录服务器,绕过 FIDO2 认证,获取 SSH 最高权限 |
| 03:40:31.145 | 提交以下指令 find / *.jar查找服务器内的 Jar 文件 |
| 03:40:49.781 | 提交以下指令 umount ***卸载了 Fiona 系统挂载的虚拟磁盘 |
| 03:41:00.916 | 试图通过风控登录内网其他机器,被风控拒绝 |
| 03:41:01.562 | 对所有驱动器执行了完全格式化操作 |
| 03:42:07.531 | 风控联动机柜控制系统切断了部分 SSD 硬盘 SAS 供电 |
| 03:42:08.225 | 风控切断外网连接 |
特征分析
本次攻击疑似脚本操作,接到首次攻击前,此 CVE 漏洞刚刚发布可复制性 Demo 约 3 小时。
本次攻击与当日上午收到的某公司律师函无关。
按照主管部门要求,我们不能提供更多信息。