分钟
速读仅需 1 分钟
本来今天高高兴兴,期待着明天的疯狂星期四,但客户那边突然有一台主机需要应急,那就上去看一眼。
1、事件背景
这次设备上有报警,发现是挖矿木马,并且也捕捉到了外联 IOC,那这问题就不大了,直接上机开搞!
恶意 IOC:217.160.36.159
2、上机处置
首先对这台主机的外联情况查看一下,使用netstat -ano看一下外联
发现了恶意 IOC,并且本地端口也知道了,本来想直接通过端口定位的,但发现搞不出来,最后再次查看外联,发现外联端口变了,那就有点头疼了。
此时也只能瞎猫碰死耗子,从进程中也发现不了什么(都是挖矿马了,还不搞点高占用?),但是在计划任务那里找到了一点东西。
计划任务有两种,一个是系统计划任务,还有一个是用户计划任务,此时我们就在用户计划任务中找到了攻击者写入的内容
cd /var/spool/cron/crontabs
他指定了一个很怪的路径,于是我们之间访问
cd /usr/games/.mozilla/.mozilla直接ls -al查看一下
其实这里看见这几个文件,基本就可以确定是木马了,但是为了严谨,咱们把他拿出来,跑个沙箱
OK,杀了
原文始发于微信公众号(雪莲安全):记一次对某学校挖矿木马的应急响应
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论