挖矿木马应急响应-案例分析

挖矿木马应急响应-案例分析

linux 终端无法使用系统资源使用异常高
在这里插入图片描述
首先解决linux命令无法使用的问题,显示libc.so.6 没有重新连接一下libc文件

查看日志

发现木马运行成功后就日志一直报libc错误
挖矿木马应急响应-案例分析_第1张图片

根据信息向上插在日志

向上发现,root用户被爆破后,攻击者使用rz命令上传文件

Oct 28 10:58:48 client systemd-logind: New session 12 of user root.
Oct 28 10:58:48 client systemd: Started Session 12 of user root.
Oct 28 10:58:48 client systemd: Starting Session 12 of user root.
Oct 28 10:58:48 client dbus[855]: [system] Activating service name='org.freedesktop.problems' (using servicehelper)
Oct 28 10:58:48 client dbus-daemon: dbus[855]: [system] Activating service name='org.freedesktop.problems' (using servicehelper)
Oct 28 10:58:48 client dbus[855]: [system] Successfully activated service 'org.freedesktop.problems'
Oct 28 10:58:48 client dbus-daemon: dbus[855]: [system] Successfully activated service 'org.freedesktop.problems'
Oct 28 10:58:49 client systemd-logind: New session 13 of user root.
Oct 28 10:58:49 client systemd: Started Session 13 of user root.
Oct 28 10:58:49 client systemd: Starting Session 13 of user root.
Oct 28 10:59:07 client rz[13094]: [root] a753cb1ff86c742bb497155362664c3b/ZMODEM: 562286 Bytes, 1230686 BPS
Oct 28 10:59:40 client systemd-logind: Removed session 13.
Oct 28 11:00:01 client systemd: Started Session 14 of user root.
Oct 28 11:00:01 client systemd: Starting Session 14 of user root.

查看日志发现确实用非法爆破ssh服务,成功root登录上服务器,并上传文件。

确定挖矿木马

通过top命令确定好木马程序(挖矿木马比较好发现,cpu和内存使用率较高)
使用netstat -anptu 查看网络外联情况。

这里忘记截图了

通过cpu使用率和外联情况。可以快速定位到挖矿木马。

ps:一种奇技淫巧
使用网络挂载程序。将服务器文件挂载到windows上然后使用杀毒软件查杀。可以快速发现木马病毒。
挖矿木马应急响应-案例分析_第2张图片

清理挖矿木马

确定好木马直接kill-9无法直接清除。会自动生成随机的新木马。
挖矿木马应急响应-案例分析_第3张图片

这里可能是有守护进程或者是计划任务。保证木马的存活。
继续排查计划任务,服务器自启动项。

将恶意开启自动项删除。
挖矿木马应急响应-案例分析_第4张图片

排查计划任务:挖矿木马应急响应-案例分析_第5张图片

发现计划任务,这个木马还有守护进程相互确认。同时会生成两个随机的木马进行挖矿。并保证对方的存活。如果对方没有存活的话就会自动启动程序。

分析挖矿木马

定位进程后,对进程进行一些分析。
cat /proc/进程号/exe
ls -al /proc/进程号/exe
cat /proc/进程号/cmdline

挖矿木马应急响应-案例分析_第6张图片
挖矿木马应急响应-案例分析_第7张图片

定位到详细文件。发现无法直接删除。

chttr +i 要锁定的文件,然后再取消挂载进程unmount /proc/进程号

取消挂载和锁定文件后。木马间的相互守护的作用就失效了。然后就可以直接删除木马文件
挖矿木马应急响应-案例分析_第8张图片
并使用kill -9 进程号的方式清理木马程序,再次查看top 命令确定时候的就没有再有木马程序了。

收尾工作

接下来的一些就是安全加固,修改密码,ssh安全加固禁用rootssh登录,限制登录次数。排查用户是否有影子用户。漏扫服务器上的服务,是否还有其他漏洞等。对日志和病毒样本的详细分析。

你可能感兴趣的:(运维,网络安全,运维)