二.事件参与
信息安全人员+服务器归属人
三.事前发现
蜜罐或者网络流量检测设备发现ssh爆破行为或者反连恶意IP(基于威胁情报),45.9.148.58和45.9.148.59都是恶意的公共矿池IP,也是Outlaw亡命徒挖矿木马直接关联的IP。
四.事中处置
1-输入top,显示系统中各个进程的资源占用情况,寻找程序kswapd0所在的进程,进而找到进程号65228和用户名demo
2-ls -la /proc/65228/exe,找到进程所对应的文件/home/demo/.configrc/a/kswapd0
3-netstat -antlp,找到45.9.148.0/24相关的网络连接,程序是./kswapd0
4-cd /home/demo/.configrc/,里面全都是病毒程序
5-cd /var/spool/cron/crontabs, cat demo,可以看到相关的计划任务
1 1 */2 * * /home/demo/.configrc/a/upd>/dev/null 2>&1
@reboot /home/demo/.configrc/a/upd>/dev/null 2>&1
5 8 * * 0 /home/demo/.configrc/b/sync>/dev/null 2>&1
@reboot /home/demo/.configrc/b/sync>/dev/null 2>&1
0 0 */3 * * /var/tmp/.X172o/.rsync/c/aptitude>/dev/null 2>&1
6-cd /var/tmp/,可以发现.X172o文件夹
7-cd /root/.ssh,发现demo用户存在ssh公钥登录
8-cat /var/tmp/up.txt,这个是木马ssh密码爆破的字典
9-lastb命令可以查看用户登陆失败的日志,history命令可以显示历史使用过的命令查看可疑命令。
10-关闭挖矿木马进程,删除木马相关文件
kill -9 65228
rm -rf /home/demo/
rm -rf /root/.ssh/
rm -rf /var/tmp/.X172o/
rm -rf /var/spool/cron/crontabs/demo
userdel demo
11-修改linux系统上所有用户的密码,尤其是root密码的强度一定要足够强,非必要不开更多用户的ssh权限。
五.事后总结
1-加强对通过ssh爆破传播的病毒木马的监测,尤其是大规模扫描ssh的情形。
2-溯源过程中一定要用root权限的用户,不然有的病毒文件可能无法删除。
3-获取中毒服务器中的密码字典,在内容进行密码扫描爆破,能成功的,大概率也是中毒Outlaw亡命徒挖矿木马的。
原文始发于微信公众号(张无瑕思密达):针对近期流行的Outlaw亡命徒挖矿木马的一次溯源
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论