0x01 事件描述#
某同事在某單位遇到一個 linux 主機運行不正常,疑似伺服器被植入惡意代碼,叫我這邊看下,當時同事了解到,由於伺服器業務出現問題,導致客戶登錄伺服器查看情況,對異常進程進行查殺之後,恢復正常,但之後該進程又會重新啟動。
要了伺服器的登錄信息之後,開始進行排查。
0x02 漏洞排查#
1、用戶根目錄發現一個異常文件。
2、通過火絨進行查殺
3、stat 命令查看文件狀態
- Access : 文件最近一次被訪問的時間
- Modify: 文件內容最近一次被修改的時間
- Change: 文件屬性最近一次被改變的時間
4、存在異常賬戶
5、在 home 目錄下也發現一個異常文件 tufei34。
6、通過在線雲沙箱 (https://s.threatbook.cn) 檢測,發現為木馬後門。
7、利用 utmpdump 對該二進制文件提取可讀內容,發現對外連接了許多異常 ip。
火絨殺毒軟件掃描結果。
![火絨殺毒][9]
8、通過 top 命令對進程進行排查,發現異常進程rvnshcqhiq,進程 id 為 13987,通過對進程 id 進行分析,發現其對外連接到 ip183.ip-178-32-145.eu,這個域名也為一個異常域名。
9、lsof -p PID,查看進程的連接情況,該異常文件位於 /usr/bin 下
![lsof -p13987][11]
![異常域名][12]
10、將異常文件rvnshcqhiq下載下來,通過在線雲沙箱 (https://s.threatbook.cn) 對這個木馬進行進一步分析,發現其為 Xorddos 木馬。
![雲檢測][13]
![雲檢測][14]
11、使用 pstree 也可以看到異常文件進程
![pstree][15]
12、利用strings /usr/bin/rvnshcqhiq對木馬文件進行排查,發現該木馬文件啟動了計劃任務,每三分鐘執行一次。
![strings /usr/bin/rvnshcqhiq][16]
13、查看任務計劃文件。
![計劃任務文件][17]
![計劃任務][18]
14、同時在 /usr/bin/ 目錄下也發現其他的木馬文件。
![其他木馬文件][19]
![惡意文件開機自啟動][20]
15、查看自啟動文件ls /etc/rc*
![ls /etc/rc*][21]
0x03 使用clamav進行查殺#
使用 clamav 進行查殺的效果,clamscan -r /usr/bin
![clamav1][22]
![clamav2][23]
![clamav3][24]
對其中的一個 /usr/bin/.ssh 文件進行分析,發現大量異常 ip。
strings /usr/bin/.sshd | egrep '[1-9]{1,3}\.[1-9]{1,3}\.'
![.ssh][25]
利用 clamav 掃描 /etc/ 目錄下的文件。
![clamav4][26]
Mysql 也為木馬文件。
![Mysql][27]
對登錄記錄進行分析,登錄成功的 ip 前兩個分別為 54.36.137.146 和 37.44.212.223,這兩個 ip 都為境外 ip。
grep 'Accepted' /var/log/secure | awk '{pirnt $11}' | sort | uniq -c | sorn -nr
![登錄記錄分析 1][28]
![登錄記錄分析 2][29]
![登錄記錄分析 3][30]
0x04 解決建議#
- 對伺服器的異常文件進行清理,由於木馬會自動生成,所以先把木馬文件的權限關閉,然後刪除開機自啟動的木馬程序和軟鏈接,手動清除全部木馬原始文件,同時,將惡意文件生成的計劃任務清空。
- 安裝 clamav 掃描並刪除感染文件。
- 在條件允許的情況下,建議對伺服器進行重新部署,防止出現病毒遺留的症狀。