0X01.前言

     记录一下之前给一个客户做应急响应的过程,客户说他们为了一个重保项目借了一台全流量探针系统,装上之后监测到有一台服务器处于失陷状态,让我来排查下是怎么回事。

0X02.排查思路

1.首先我登录了他们的监测平台,看了下源IP10.X.X.89一直在对外lzj.passwd1.com这个域名进行dns解析请求。

2.远程到机器上使用netstat -anop查询一下网络连接,奇怪的是并没有查询到什么可疑的外联

3.使用linuxcheck脚本跑了一下,没发现有啥异常的情况,git下载https://github.com/al0ne/LinuxCheck

4.上微步搜一下这个域名lzj.password1.com,发现打了很多标签,发现一个名为DDos攻击组织肉鸡美眉的分析报告

5.打开看了下里面的linux版本变种会释放fake.cfg文件,立即使用find -name fake.cfg搜索服务器上是否存在该文件。

6.不出所料,确实存在,那可以确定该台服务器确实被种马了,看来客户搞得这个平台还是挺准确的。

7.打开该文件看了下配置,大概参数说明如下,对比了下监测平台的日志,确实是在端口10000-60000之间不断浮动。

8.继续看看安天这篇报告,发现该变种文件还会释放/usr/bin/bsd-port/getty,/usr/bin/.sshd,/usr/bin/dpkgd/netstat,/bin/netstat,/usr/bin/dpkgs/ps等文件

9.在服务器上查询确实都存在,查询下存放文件的时间都是2015年了,听客户说该台服务器之前是通的外网是一台oa系统,后面没在用了就给他进行了网络隔离,我就说怎么种马种了这么多年他们居然没一点反应。

10.对释放的恶意文件/usr/bin/.sshd 进行样本分析,发现和安天那篇报告如出一辙,找到目录DbSecuriytspt

11.发现该目录,将恶意文件全部清除

12.最后告知客户出现该问题的原因,因为他们害怕自己的服务器被控制了,害怕内网被打了,所以给他们确定了出现问题的原因后他们才放心重装这台服务器，至于以前怎么搞的,时间太久远了就不确定了。

0X03.总结

   在对windows还是linux系统进行常规入侵监测排查的时候如果还是没找到,可以上微步或者360安全大脑啥的搜索一些相关的样本分析报告对照一下,只要不是比较新的样本基本都有收录。

原文始发于微信公众号（夜安团队SEC）：应急响应-记一次linux入侵排查