记一次去年6月份对某客户做的一次挖矿应急,事件起因是客户接到电信托管机房短信息,通知检测到客户服务器有对外发送攻击流量的行为,被攻击服务器在公网开放了22端口,做远程测试用。
检测过程
第一步,系统分析:
对系统关键配置、账号、历史记录等进行排查,确认对系统的影响情况,发现/root/.bash_history内历史记录已经被清除,其他无异常。
第二步,进程分析:
对当前活动进程、网络连接、启动项、计划任务等进行排查,发现以下问题:
1)异常网络连接
通过查看系统网络连接情况,发现存在木马后门程序te18网络外联。
在线查杀该文件为Linux后门程序
2)异常定时任务
通过查看crontab 定时任务,发现存在异常定时任务。
分析该定时任务运行文件及启动参数
在线查杀相关文件为挖矿程序
查看矿池配置文件
第三步,文件分析:
在/root目录发现黑客植入的恶意代码和相关操作文件。
黑客创建隐藏文件夹/root/.s/,用于存放挖矿相关程序。
第四步,排查一下rootkit:
第五步,日志分析:
通过以上的分析,可以判断出黑客通过SSH爆破的方式,爆破出root用户密码,并登陆系统进行挖矿程序和木马后门的植入。
初步处理
后续对矿池IP进行封禁操作,并删除服务器上的恶意文件和定时任务,断开服务器与矿池的连接,抑制事件进一步恶化,释放挖矿病毒占用的CPU资源,恢复服务器的正常运行。
事件根除
1、优化自身服务器配置(更改弱口令),并设定规则,每月强制更改口令;
2、在出口防火墙添加策略,关闭测试服务器互联网访问权限,因测试服务器不需要对互联网提供服务,因此关闭互联网权限,只在内网访问,可以最大程度保证服务器安全;
3、 重启服务器以恢复正常运行;
4、 对服务器的一些配置进行优化,以应对以后可能出现的类似情况;
原文始发于微信公众号(纵横安全圈):记一次挖矿病毒应急
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论