快捷搜索:  网络  后门  扫描  渗透  CVE  木马  黑客  as

一次真正的Linux服务器挖矿程序排查案例,顺道干掉一个DDoS后门

1、违景

上周有同伙反映一台服务器流量超标, 嫌疑中木马,要求帮忙处理,平时长期在应用层打杂习性了,实在并没有什么底气去排查体系底层后门这些器械 。然则既然有需求,当然照样绝力去解决。当然这一过程也受益不浅,就以及人人分享一下。

二、发现以及追踪过程

1. 查看体系状态信息发现问题

发现目标主机存在可疑IP连接信息

image.pngimage.pngimage.pngimage.png

经排查系tmp目录下的可疑文件Welcom运行,同时发现了复制在bin目录下的双胞胎。

2. top动态查看进程,确定果然是/tmp/Welcom这玩意在弄怪

image.png

3. 拉下来略微研究了下,企业黑客,逆向能力一般,只能最简单的看了看

image.png

各位可自行去拉取脚本

image.png

看举动应该是挺典型的minerd挖矿程序,应该是做过变异,哈勃竟然查不出来问题。

image.png

后边用其他引擎扫了扫基本也能确定类型

image.pngimage.png

四、根据恶意程序的脚本,去查看体系准时义务

image.png

根据排查,恶意程序的感染时间较久,根据文件用户属性应是来源于最初的Tomcat所属权限的用户,多是通过前期低版本的Tomcat服务器漏洞被行使导致,后来以root用户运行了Tomcat导致感染了root用户。(最初的病症就是一开启Tomcat就流量超标)。

3、清理方案

1. 清除主机上所有的非自立配置准时义务;

2. 清除/tmp目录下可疑文件,该目录为暂且文件,建议不需要的都可清理

3. 清除Bin目录下Welcom文件

4. 清除/var/spool/cron/rootc文件

5. 清除/etc/wnell

6. 杀死Welcom进程(pkill Welcom观察一段时间是否有重启迹象)

7. Iptalbless或防火墙策略制约对恶意IP:45.76.78.9以及域名的连接http://love.suime.win/   (没法第一时间清除程序或没法保障清除清洁的双保险)

8. 删除体系中不用的账户

9. 关闭不需要的端口以及服务,卸载不需要的组件如samba

10. 升级openssh到最新版本、Tomcat也及时升级最新版本(不建议使用root用户权限启动tomcat)

11. 排查/root/.ssh/目录下是否都是信任的主机,排除内网已有其他主机被攻击作为跳板机的可能。

附录(顺道发现的DDoS后门):

在排查开机启动项时,发现/etc/init.d显然两个时间以及长相都很怪异的文件,实在在清理/tmp目录时辰已经嫌疑了/tmp/phpsos,就扔给一位逆向大牛同事阐发了下,说是很显然的DDoS.

image.png

image.png

后来查了下,这种木马比较常见,分享一下那时我用的笨要领比较快速的清除,

1.根据发现的那两个恶意文件入侵时间定位了谁人时间点被修改的所有文件(很常见的替代ps以及netstat…)

image.png

2. 根据文件的大小,找出所有木马主运行程序

image.png

实在刚刚才知道可以根据文件字节大小直接查找一样大小的文件 find / -size 1223123c

清除结束后最后还得copy或者重装正常的体系命令。

*

您可能还会对下面的文章感兴趣: