banner
lca

lca

真正的不自由,是在自己的心中设下牢笼。

记一次linux下的应急响应

0x01 事件描述#

某同事在某单位遇到一个 linux 主机运行不正常,疑似服务器被植入恶意代码,叫我这边看下,当时同事了解到,由于服务器业务出现问题,导致客户登陆服务器查看情况,对异常进程进行查杀之后,恢复正常,但之后该进程又会重新启动。

要了服务器的登陆信息之后,开始进行排查。

0x02 漏洞排查#

1、用户根目录发现一个异常文件。

image

2、通过火绒进行查杀

image

3、stat 命令查看文件状态

image

  • Access : 文件最近一次被访问的时间
  • Modify: 文件内容最近一次被修改的时间
  • Change: 文件属性最近一次被改变的时间

4、存在异常账户

1551858013114.jpg

5、在 home 目录下也发现一个异常文件 tufei34。

image

6、通过在线云沙箱 (https://s.threatbook.cn) 检测,发现为木马后门。

image

image

7、利用 utmpdump 对该二进制文件提取可读内容,发现对外连接了许多异常 ip。

image

火绒杀毒软件扫描结果。

火绒杀毒

8、通过 top 命令对进程进行排查,发现异常进程rvnshcqhiq,进程 id 为 13987,通过对进程 id 进行分析,发现其对外连接到 ip183.ip-178-32-145.eu,这个域名也为一个异常域名。

image

9、lsof -p PID,查看进程的连接情况,该异常文件位于 /usr/bin 下

lsof -p13987

异常域名

10、将异常文件rvnshcqhiq下载下来,通过在线云沙箱 (https://s.threatbook.cn) 对这个木马进行进一步分析,发现其为 Xorddos 木马。

云检测

云检测

11、使用 pstree 也可以看到异常文件进程

pstree

12、利用strings /usr/bin/rvnshcqhiq对木马文件进行排查,发现该木马文件启动了计划任务,每三分钟执行一次。

strings /usr/bin/rvnshcqhiq

13、查看任务计划文件。

计划任务文件

计划任务

14、同时在 /usr/bin/ 目录下也发现其他的木马文件。

其他木马文件

恶意文件开机自启动

15、查看自启动文件ls /etc/rc*

ls /etc/rc*

0x03 使用clamav进行查杀#

使用 clamav 进行查杀的效果,clamscan -r /usr/bin

clamav1

clamav2

clamav3

对其中的一个 /usr/bin/.ssh 文件进行分析,发现大量异常 ip。

strings /usr/bin/.sshd | egrep '[1-9]{1,3}\.[1-9]{1,3}\.'

.ssh

利用 clamav 扫描 /etc/ 目录下的文件。

clamav4

Mysql 也为木马文件。

Mysql

对登录记录进行分析,登录成功的 ip 前两个分别为 54.36.137.146 和 37.44.212.223,这两个 ip 都为境外 ip。

grep 'Accepted' /var/log/secure | awk '{pirnt $11}' | sort | uniq -c | sorn -nr

登录记录分析 1

登录记录分析 2

登录记录分析 3

0x04 解决建议#

  • 对服务器的异常文件进行清理,由于木马会自动生成,所以先把木马文件的权限关闭,然后删除开机自启动的木马程序和软链接,手动清除全部木马原始文件,同时,将恶意文件生成的计划任务清空。
  • 安装 clamav 扫描并删除感染文件。
  • 在条件允许的情况下,建议对服务器进行重新部署,防止出现病毒遗留的症状。
加载中...
此文章数据所有权由区块链加密技术和智能合约保障仅归创作者所有。