挖矿木马应急响应-案例分析
linux 终端无法使用系统资源使用异常高
首先解决linux命令无法使用的问题,显示libc.so.6 没有重新连接一下libc文件
查看日志
发现木马运行成功后就日志一直报libc错误
根据信息向上插在日志
向上发现,root用户被爆破后,攻击者使用rz命令上传文件
Oct 28 10:58:48 client systemd-logind: New session 12 of user root.
Oct 28 10:58:48 client systemd: Started Session 12 of user root.
Oct 28 10:58:48 client systemd: Starting Session 12 of user root.
Oct 28 10:58:48 client dbus[855]: [system] Activating service name='org.freedesktop.problems' (using servicehelper)
Oct 28 10:58:48 client dbus-daemon: dbus[855]: [system] Activating service name='org.freedesktop.problems' (using servicehelper)
Oct 28 10:58:48 client dbus[855]: [system] Successfully activated service 'org.freedesktop.problems'
Oct 28 10:58:48 client dbus-daemon: dbus[855]: [system] Successfully activated service 'org.freedesktop.problems'
Oct 28 10:58:49 client systemd-logind: New session 13 of user root.
Oct 28 10:58:49 client systemd: Started Session 13 of user root.
Oct 28 10:58:49 client systemd: Starting Session 13 of user root.
Oct 28 10:59:07 client rz[13094]: [root] a753cb1ff86c742bb497155362664c3b/ZMODEM: 562286 Bytes, 1230686 BPS
Oct 28 10:59:40 client systemd-logind: Removed session 13.
Oct 28 11:00:01 client systemd: Started Session 14 of user root.
Oct 28 11:00:01 client systemd: Starting Session 14 of user root.
查看日志发现确实用非法爆破ssh服务,成功root登录上服务器,并上传文件。
确定挖矿木马
通过top命令确定好木马程序(挖矿木马比较好发现,cpu和内存使用率较高)
使用netstat -anptu 查看网络外联情况。
这里忘记截图了
通过cpu使用率和外联情况。可以快速定位到挖矿木马。
ps:一种奇技淫巧
使用网络挂载程序。将服务器文件挂载到windows上然后使用杀毒软件查杀。可以快速发现木马病毒。
清理挖矿木马
确定好木马直接kill-9无法直接清除。会自动生成随机的新木马。
这里可能是有守护进程或者是计划任务。保证木马的存活。
继续排查计划任务,服务器自启动项。
将恶意开启自动项删除。
排查计划任务:
发现计划任务,这个木马还有守护进程相互确认。同时会生成两个随机的木马进行挖矿。并保证对方的存活。如果对方没有存活的话就会自动启动程序。
分析挖矿木马
定位进程后,对进程进行一些分析。
cat /proc/进程号/exe
ls -al /proc/进程号/exe
cat /proc/进程号/cmdline
定位到详细文件。发现无法直接删除。
chttr +i 要锁定的文件,然后再取消挂载进程unmount /proc/进程号
取消挂载和锁定文件后。木马间的相互守护的作用就失效了。然后就可以直接删除木马文件
并使用kill -9 进程号的方式清理木马程序,再次查看top 命令确定时候的就没有再有木马程序了。
收尾工作
接下来的一些就是安全加固,修改密码,ssh安全加固禁用rootssh登录,限制登录次数。排查用户是否有影子用户。漏扫服务器上的服务,是否还有其他漏洞等。对日志和病毒样本的详细分析。
