利用对攻击者的完整攻击调查取证，能够 证实攻击者利用SSH连接的方式运用guest_cm用户与root用户开展远程连接，连接后运用Wget方式下载并种植在目标网站服务器中的l和vkgdqyexc病毒文件，并使用uptx开展进一步的权限实际操作，随后运用.x扫描软件与目标非常强的密码字典开展内部网络扫描入侵，以目标网站服务器为跳板运用root和xx账户登录内部网络的其他机器追踪实际操作，有关攻击者的反向检测，在调查取证过程中发觉攻击者的网站服务器运用以下3个ip。

xxx.xxx.xxxx.xx.xx.xx.xx.xx.xx.xx.xx.xx.xx.xx.xx.ttp://123.218.188.3:1256/站点由hfs网站服务器构建，文件服务器内存储各种病毒文件，利用其他手段查询，我们可以知道运用ip地址绑定www.xxx.com网站，并发觉疑似攻击者的真实姓名xxx和xxx。该团体运用xxxxx@qq.com、wangzxxxx.yes@gmail.com等电子邮箱，运用51654xx、3676x等微信。利用某种手段深入了解攻击者的同事经营多个博彩、私服类网站。其他信息请参阅下图:确定攻击源，确定攻击入口，综合分析内部网络多个网站服务器的日志，发觉本次安全事件的主要原因如下：

xx.xx设备的网络配置存在安全问题，没有正确的网络隔离，ssh管理端口长期暴露在公共网络上，利用分析ssh登录日志，该设备长期受到ssh密码的暴力破解攻击，发觉有成功暴力破解的日志，攻击者利用ssh弱密码获得设备的控制权限，具体的攻击流程如下图所2021年1月12日公共网络ip以211.137.38.124机器以ssh爆破方式成功登录12.0.xx.xx机器，随后攻击者以12.0.16.24机器为跳板运用一样的账户登录192.168.xxx机器攻击者进到192.168.150.160机器后，于2021年1月17日运用wget的方式从http://123.218.18.3:1256网站下载了LinuxDDos木马文件，并运用扫描仪扫描内部网络。

攻击者用同样的手段在2021年1月17日用sftp传输木马的扩散行为。详情请参阅下图linux安全性建议更改密码字典中的网站服务器。彻底整顿网络环境，关闭不必要的对外端口。网络环境已经渗透到网络中，需要立即调查网络机械的安全风险，立即处理。

SSH登录限制，修改sshd配置文件由于网站服务器多，病毒能够 利用ssh相互传播，修改sshd_config，只准许特定的机器连接，方法如下:登录目标主机，编辑/etc/ssh/sshd_config#vi/etc/ssh/sshd_confi。在文件的最后追加准许访问22端口的主机IP(IP可以用*号通配，但不推荐)