快速定位Linux服务器入侵事件

0x01 事件分析

大晚上的遇到的安全事件,心好累,只想赶紧处理完睡觉呀,先top看看服务器情况,占用了大量cpu资源的nqkyaghvtw很明显的是异常进程,

proc确认异常进程的创建时间,

在登录日志中能确认存在对应的时间段,那么攻击者可以定为120.220.0.209这个IP了,

在攻击时间段中的ssh日志存在大量的暴力破解记录,我虽然很少玩暴力破解这些,但我的字典肯定有这个密码,所以我在处理的时候拿到ssh密码就基本上猜测是ssh密码被暴力破解了,查日志只是为了能对应上猜测,

攻击者120.220.0.209这个IP在8月27日就已经成功登录了服务器,

0x02 处理过程

快速确认下异常进程的情况,记录md5在virustotal上查一查,木马程序妥妥的,

381076ac48b69afbe42044115f2f6484  nqkyaghvtw

先看看连接的情况,

确认下异常进程的位置,在/boot和/etc/rc.d/init.d,直接清理,

确认启动项的情况,最后那条明显可疑,

删除启动项,删除启动文件,还不给删呢,执行下chattr -i妥妥删除,

再把服务停掉,处理完毕,

然而,事实并没有结束,妈蛋换了个名字再次启动了,存在守护进程呢,

启动项重新被写入,

看下cron.sh的脚本情况,/lib/udev的目录下还有关联的,

刚删完又出现的时间,

重新再清除一次,

/boot/

/etc/rc.d/init.d/

/usr/lib/udev/

/etc/cron.hourly/

/etc/crontab

0x03 结果待续

解决资源消耗问题,这个木马终于是不会再复活了,然而,貌似,还有其他不同种类的兄弟在呀,困死了,先睡个觉,明天再看下其他的情况好了…待续…


发表评论