记一次应急记录

admin 2024年11月7日12:02:02评论5 views字数 1584阅读5分16秒阅读模式

应急记录1

原因

Centos7系统,原有密码突然无法登录root用户

过程

重置密码

由于普通用户没有sudo权限,以及可提权的特权文件,只能通过机器重启重置root密码

https://blog.csdn.net/m0_64423407/article/details/122394477

https://blog.csdn.net/qq_61116007/article/details/132141925

  1. 1. 选第二行按e进入

  2. 2. fi下面那行,ro改成rw rd.break

  3. 3. ctrl+x进入

  4. 4. 依次输入命令

chroot /sysroot   //进入系统的根目录
passwd            //重置密码
touch /.autorelabel     //创建文件,让系统重新启动时能够识别修改
exit              //退出chroot模式
reboot            //重启系统

之后来到root用户shell

last root

发现几个陌生ip

应急响应

top

发现了一个CPU占用率很高的进程 sshc

记一次应急记录

这个看着就有问题

ll /prod/856,查看路径

发现这个文件夹路径在 /root/.cfg/

有几个陌生文件,都不认识

crontab -l,发现有几个计划任务,嘶

记一次应急记录

尝试去互联网上搜索这个 sshc,结果遇到了两篇应急文章

https://blog.csdn.net/unmobile/article/details/122406073 https://blog.csdn.net/weixin_42502379/article/details/132828063

一样的经历,参考里面的步骤排除了

crontab -e #清除计划任务
rm -rf /root/.cfg/ #删除该文件夹内容


#切换到服务,并查看
cd /lib/systemd/system
ll -rt
#有个和参考文章一样的服务 myserve*

查看一下

记一次应急记录

先停掉,再删

systemctl stop myservice.service
systemctl disable myservice.service
rm -rf /etc/systemd/system/multi-user.target.wants/myservice.service
rm -rf /usr/lib/systemd/system/myservice.service

查看上面那个服务所说的sshd内容

记一次应急记录

删了

rm -rf /usr/bin/sshd

还有个 .locatione的隐藏文件夹

记一次应急记录

删了

rm -rf /usr/bin/.location

最后kill -9 结束进程

记录到现在才发现,忘记把文件备份丢沙箱看看了,不过问题不大,就是挖矿用的

居然是2年前的病毒。。。要不是突然root登录不上,我还不至于发现这种情况

分析

root密码太简单,被猜到了,所以要强密码+定期更换

总结

居然让我遇上了,实践技能+1

应急流程:

看用户登录情况、ip;看进程看端口,看进程占用情况,看可疑进程路径及内容,看计划任务,看是否存在陌生服务,梳理完毕后,统一删除;需要定期维护系统

参考

linux命令root重置篇:

https://blog.csdn.net/m0_64423407/article/details/122394477

https://blog.csdn.net/qq_61116007/article/details/132141925

挖矿病毒应急篇:

https://blog.csdn.net/unmobile/article/details/122406073 https://blog.csdn.net/weixin_42502379/article/details/132828063

原文始发于微信公众号(羽泪云小栈):记一次应急记录

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月7日12:02:02
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   记一次应急记录https://cn-sec.com/archives/3366247.html

发表评论

匿名网友 填写信息