banner
lca

lca

真正的不自由,是在自己的心中设下牢笼。
ホームアーカイブ图文

Linux下の緊急対応の記録

#应急响应#linux222
AI 翻訳
この記事はAIを通じて中国語から日本語に翻訳されました。原文を表示
AI が生成した要約
某同事在某单位遇到一个linux主机运行不正常,疑似服务器被植入恶意代码。经过排查发现多个异常文件和进程,其中一个文件被确认为木马后门。通过在线云沙箱检测确认木马的存在,并发现了连接的异常IP地址。进一步分析发现其他木马文件和计划任务的存在。使用clamav进行查杀并删除感染文件。建议清理服务器上的异常文件、关闭木马文件的权限、删除开机自启动的木马程序和软链接、手动清除全部木马原始文件,并清空由恶意文件生成的计划任务。在条件允许的情况下,建议重新部署服务器以防止病毒遗留的症状。

0x01 事件の説明#

ある同僚がある会社で Linux ホストが正常に動作していないという問題に遭遇しました。サーバーに悪意のあるコードが埋め込まれている可能性があり、私に調査を依頼しました。同僚は、サーバーの業務に問題が発生し、顧客がサーバーにログインして状況を確認した後、異常なプロセスを検出して終了させ、正常に戻ったが、その後もそのプロセスが再起動することがわかりました。

サーバーのログイン情報を入手した後、調査を開始しました。

0x02 脆弱性の調査#

1、ユーザーのホームディレクトリに異常なファイルが見つかりました。

image

2、火绒(ファイアウォールソフトウェア)を使用してスキャンしました。

image

3、stat コマンドを使用してファイルの状態を確認しました。

image

  • Access: ファイルが最後にアクセスされた時間
  • Modify: ファイルの内容が最後に変更された時間
  • Change: ファイルの属性が最後に変更された時間

4、異常なアカウントが存在します。

1551858013114.jpg

5、ホームディレクトリにも異常なファイル tufei34 が見つかりました。

image

6、オンラインのサンドボックス(https://s.threatbook.cn)を使用して検出し、トロイの木馬であることが判明しました。

image

image

7、utmpdump を使用してバイナリファイルから読み取れる内容を抽出し、多くの異常な IP に接続されていることがわかりました。

image

火绒ウイルス対策ソフトウェアのスキャン結果。

![火绒ウイルス対策][9]

8、top コマンドを使用してプロセスを調査しました。異常なプロセスrvnshcqhiqが見つかり、プロセス ID は 13987 で、そのプロセス ID を分析すると、外部に接続されている IP アドレスが ip183.ip-178-32-145.eu であり、これは異常なドメインでもあります。

image

9、lsof -p PID コマンドを使用してプロセスの接続状況を確認しました。この異常なファイルは /usr/bin にあります。

![lsof -p13987][11]

![異常なドメイン][12]

10、異常なファイルrvnshcqhiqをダウンロードし、オンラインのサンドボックス(https://s.threatbook.cn)を使用してこのトロイの木馬をさらに分析したところ、Xorddos トロイの木馬であることが判明しました。

![クラウド検出][13]

![クラウド検出][14]

11、pstree を使用すると、異常なファイルのプロセスも確認できます。

![pstree][15]

12、strings /usr/bin/rvnshcqhiqコマンドを使用してトロイの木馬ファイルを調査したところ、このトロイの木馬ファイルがスケジュールタスクを起動し、3 分ごとに実行されていることがわかりました。

![strings /usr/bin/rvnshcqhiq][16]

13、タスクスケジュールファイルを確認しました。

![タスクスケジュールファイル][17]

![タスクスケジュール][18]

14、同様に、/usr/bin/ ディレクトリに他のトロイの木馬ファイルも見つかりました。

![他のトロイの木馬ファイル][19]

![悪意のあるファイルの起動時の自動起動][20]

15、自動起動ファイルを確認しましたls /etc/rc*

![ls /etc/rc*][21]

0x03 clamavを使用してスキャン#

clamav を使用してスキャンした結果、clamscan -r /usr/bin

![clamav1][22]

![clamav2][23]

![clamav3][24]

その中の 1 つの /usr/bin/.ssh ファイルを分析すると、多数の異常な IP が見つかりました。

strings /usr/bin/.sshd | egrep '[1-9]{1,3}\.[1-9]{1,3}\.'

![.ssh][25]

/etc/ ディレクトリのファイルを clamav でスキャンしました。

![clamav4][26]

Mysql もトロイの木馬ファイルでした。

![Mysql][27]

ログイン記録を分析し、成功したログインの IP は 54.36.137.146 と 37.44.212.223 であり、これらの IP はいずれも海外の IP です。

grep 'Accepted' /var/log/secure | awk '{pirnt $11}' | sort | uniq -c | sorn -nr

![ログイン記録の分析 1][28]

![ログイン記録の分析 2][29]

![ログイン記録の分析 3][30]

0x04 解決策#

  • サーバーの異常ファイルをクリーンアップし、トロイの木馬ファイルのアクセス権を閉じ、起動時に自動起動するトロイの木馬プログラムとシンボリックリンクを削除し、すべてのトロイの木馬の元のファイルを手動で削除し、悪意のあるファイルが生成したタスクスケジュールをクリアします。
  • clamav をインストールして感染したファイルをスキャンして削除します。
  • 条件が許すなら、サーバーを再デプロイすることをお勧めします。これにより、ウイルスが残る可能性がなくなります。
読み込み中...
文章は、創作者によって署名され、ブロックチェーンに安全に保存されています。