6. Follow-Up
公众号后台回复“20241020”获取本次事件样本
1. Preparation
1.1 部署安全设备
部署主机安全产品:牧云HIDS
2. Detection
2.1 安全设备告警
2024-10-16 22:59:20,牧云HIDS检测到恶意文件/dev/shm/cleantaskx
2024-10-17 00:12:18,/dev/shm/cleantaskx外联矿池,域名是pool.supportxmr.com,IP地址是德国的141.94.96.144
3. Containment
检查网络连接,仅发现荷兰的172.233.39.205正在爆破ssh服务,与本次事件无关,封禁IP地址即可
查看进程情况,没有需要立即处置的
4. Eradication
4.1 删除恶意程序
未找到告警中的恶意程序/dev/shm/cleantaskx,告警中有用的信息只剩下告警时间
基于告警时间排查可疑文件,结合微步沙箱,发现7个恶意文件:
7、/var/spool/cron/root:加载恶意程序/root/.cfg.dealer的计划任务后门,需清除
对于2、3、4的恶意程序tools.tar、libsimplesshd.so、udeb,删除即可
4.2 清除自启服务后门
在4.1章节发现了自启服务配置文件/etc/systemd/system/systemd-slide.service存在加载恶意程序/usr/bin/udeb的后门
需删除程序程序/usr/bin/udeb
需禁用自启服务systemd-slide.service,并删除自启服务配置文件/etc/systemd/system/systemd-slide.service
4.3 清除动态链接库后门
在4.1章节发现了动态链接库配置文件/etc/ld.so.preload存在加载恶意动态链接库/usr/local/lib/libsimplesshd.so的后门
需删除恶意动态链接库/usr/local/lib/libsimplesshd.so
需清除动态链接库配置文件/etc/ld.so.preload中的配置
需要说明的是,在删除恶意动态链接库/usr/local/lib/libsimplesshd.so之后、清除动态链接库配置文件/etc/ld.so.preload之前,会存在如下报错:
ERROR: ld.so: object '/usr/local/lib/libsimplesshd.so' from /etc/ld.so.preload cannot be preloaded: ignored.
4.4 清除计划任务后门
在4.1章节发现了计划任务配置文件/var/spool/cron/root存在加载恶意程序/root/.cfg.dealer的后门
需删除恶意程序/root/.cfg/dealer,但未找到该文件
需清除计划任务配置文件/var/spool/cron/root中的配置
4.5 清除系统帐号后门
攻击者于2024-10-16 22:56:22创建系统帐号iksi,使用命令 userdel -rf iksi 删除即可
攻击者同时修改了root用户的密码,主要目的是避免其他攻击者爆破登录,这导致root帐号也成为了后门,需修改密码
4.6 加固弱口令漏洞
已在4.5章节加固
5. Recovery
5.1 恢复SSH服务
已在4.5章节恢复
6. Follow-Up
不涉及
原文始发于微信公众号(OneMoreThink):应急实战(12):小小挖矿竟留4个后门
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论