【应急响应】记某司Linux服务器入侵事件

今天是某司网络学院的服务器被黑，记录下处理的过程，如下图是某司网络学院服务器对外进行C&C通信，客服kill掉进程之后，又产生新的恶意进程。

先来查一查连接情况，发现有个随机字符串进行对外异常连接，kill掉相关进程，果然会立马拉起一个新的以随机字符串命名的进程。

微步查一查ip地址27.*.*.61，发现与之通信的是香港的动态ip地址。

进入到该进程中（cd /proc/进程号），读取内存中的信息（cat * |strings -n 5 |more即可查看内存中的信息),发现该病毒通过创建init.d脚本来启动恶意进程，写入到rc%d.d里面实现自启动。同时恶意进程还会在/etc/cron.hourly/目录下生成gcc4.sh脚本。

继续查看内存中的内容，发现恶意进程通过sed -i修改crontab启动文件，将恶意脚本/etc/cron.hourly/gcc4.sh写入到crontab启动文件中。

查看/etc/cron.hourly/目录下，存在gcc4.sh恶意文件。

查看gcc4.sh恶意文件内容，是将恶意可执行的文件libudev4.so复制到lib目录下

查看lib目录下，存在libudev4.so文件，libudev4.so文件的时间，是2018年4月18日创建，计算该libudev4.so文件的md5值，上传到virustotal上查询，可以发现是个病毒文件，这里忘了截图了

查看crontab启动文件，发现里面果然被添加了启动项/etc/cron.hourly/gcc4.sh

最后的处置方式为：

1. 用vim删除corntab文件中启动gcc4.sh的那段代码，
2. 用chattr锁定corntab启动项，防止病毒文件再次写入，
3. 删除/etc/cron.hourly/目录下的gcc4.sh脚本，使用chattr锁定/etc/cron.hourly/目录
4. 重启并删除libudev.so文件，最后删除释放在/bin目录和/etc/init.d目录下的随机字符串文件。
5. Kill掉随机字符串进程，再次重启（原则上只要重启一次，怕是某云的什么bug）。

重启服务器 随机字符的进程不再被拉起，corntab正常，除/etc/cron.hourly/目录正常，网络连接正常。

last查看登录情况，果然发现有一个江苏常州的恶意IP在4月11日就已经登录过该服务器，该ip地址被微步标记为撞库，咨询了管理人员，服务器SSH密码采用常见的键盘密码，容易被字典撞库撞到。