记一次挖矿病毒的应急响应

记一次挖矿病毒的应急响应

某次登录自己的vps发现cpu占用率爆表，肯定是被植入挖矿病毒了。前些天学了应急响应的一些知识。苦于没有练手的机会，正好这不就来了么。

01应急发现

登录vps，发现cpu占用率为100%。使用top命令进行查看，没有发现显示的进程cpu占用率都很小。猜测挖矿进程被隐藏了。
##

02应急处理

于是介绍几种查看隐藏进程的方法。

隐藏进程侦查

方式一（mounts）

[root@docker]-[/proc]-#cat /proc/mounts 

方式二（sysdig）

# curl -s https://s3.amazonaws.com/download.draios.com/stable/install-sysdig | sudo bash

方式三（unhide）

下载安装:

yum -y install unhide

暴力扫描隐藏进程：

unhide checkbrute

寻找挖矿病毒

找到隐藏的进程，进程路径为"/usr/share/xmrigMiner，进程id为3151。
来到/usr/share目录下

cd /usr/share

使用ls命令进行查看，发现存在xmrigDaemon、xmrigMiner。

ls

删除挖矿病毒

将文件进行百度查看xmrigMiner，发现其为新一代比特币挖矿病毒，对其进行删除。

在次进行相关进程，发现进程不存在
查看隐藏进程，发现进程相关的程序已被删除。
重启vps，cpu占用率恢复正常。

03应急溯源

最近在测试docker的未授权访问，把vps的docker配置成可以远程未授权访问且可以提权到主机的root设置，猜测攻击者应该利用docker未授权漏洞进来的。

登录排查

登录成功的日期、用户名、IP

grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}' 

发现攻击者在3月28日中午2点登录服务器。
使用history命令，进行查看攻击者使用过的命令。发现攻击者对history历史进行了删除。
查看登录失败的次数

cat /var/log/secure | awk '/Failed/{print $(NF-3)}' | sort | uniq -c | awk '{print $2" = "$1;}'

没有发现122.97.174.210有爆破记录，侧面证实攻击者是利用漏洞获取服务器权限。

ssh排查

来到ssh私钥存在路径，发现有攻击者存留的ssh私钥

stat authorized_keys2 

创建时间为2023-03-29 11:20:5，这个被我改动了。实际为2-28日下午。

对其进行删除，发现不可被删除。
使用lsattr查看文件权限

lsattr authorized_keys2

.chattr 权限 格式： charrt [ + - = ] [ 选项 ] 文件或目录名

选项： + 增加权限

        -   删除权限
        =   赋予权限

i ： 对文件设置 i 属性，那么不允许对文件进行删除、改名，也不能添加修改数据；对目录设置 i属性，那么只能修改目录下文件的数据，但不能创建和删除文件
a ：对文件设置 a属性，那么只能在文件中增加数据，但不能删除与修改数据；对目录设置 a 属性，那么只允许在目录中创建与修改文件，不允许删除文件
e ：Linux 中绝大多数文件默认拥有 e 属性，表示该文件使用 ext 文件系统进行存储，而且不能使用 chattr -e 取消 e 属性

使用chattr更改文件权限。
更改权限后，成功将其删除。

计划任务排查

crontab -l

未发现异常。

使用工具排查

GScan 旨在为安全应急响应人员对 Linux 系统排查时提供便利，实现主机侧 Checklist（检查表） 的自动全面化检测，根据检测结果自动数据聚合，进行黑客攻击路径溯源。
项目地址：
https://github.com/grayddq/GScan

1、主机信息获取
2、系统初始化alias检查
3、文件类安全扫描
3.1、系统重要文件完整行扫描
3.2、系统可执行文件安全扫描
3.3、临时目录文件安全扫描
3.4、用户目录文件扫描
3.5、可疑隐藏文件扫描
4、各用户历史操作类
4.1、境外ip操作类
4.2、反弹shell类
5、进程类安全检测
5.1、CUP和内存使用异常进程排查
5.2、隐藏进程安全扫描
5.3、反弹shell类进程扫描
5.4、恶意进程信息安全扫描
5.5、进程对应可执行文件安全扫描
6、网络类安全检测
6.1、境外IP链接扫描
6.2、恶意特征链接扫描
6.3、网卡混杂模式检测
7、后门类检测
7.1、LD_PRELOAD后门检测
7.2、LD_AOUT_PRELOAD后门检测
7.3、LD_ELF_PRELOAD后门检测
7.4、LD_LIBRARY_PATH后门检测
7.5、ld.so.preload后门检测
7.6、PROMPT_COMMAND后门检测
7.7、Cron后门检测
7.8、Alias后门
7.9、SSH 后门检测
7.10、SSH wrapper 后门检测
7.11、inetd.conf 后门检测
7.12、xinetd.conf 后门检测
7.13、setUID 后门检测
7.14、8种系统启动项后门检测
8、账户类安全排查
8.1、root权限账户检测
8.2、空口令账户检测
8.3、sudoers文件用户权限检测
8.4、查看各账户下登录公钥
8.5、账户密码文件权限检测
9、日志类安全分析
9.1、secure登陆日志
9.2、wtmp登陆日志
9.3、utmp登陆日志
9.4、lastlog登陆日志
10、安全配置类分析
10.1、DNS配置检测
10.2、Iptables防火墙配置检测
10.3、hosts配置检测
11、Rootkit分析
11.1、检查已知rootkit文件类特征
11.2、检查已知rootkit LKM类特征
11.3、检查已知恶意软件类特征检测
12、WebShell类文件扫描
12.1、WebShell类文件扫描

使用git命令拉取到本地进行使用。

git clone https://github.com/grayddq/GScan.git

使用效果嘎嘎好。