Linux挖矿病毒事件应急响应演练(dbused木马)
文章目录
- 1 环境准备
- 2 攻击阶段
- 3 应急响应
- 3.1 检测阶段
- 3.2 根除阶段
1 环境准备
**攻击机**:kali(192.168.130.131)
**靶机**:Ubuntu(192.168.130.138)
**攻击方式**:SSH弱口令
2 攻击阶段
(1)通过端口扫描工具,对服务器进行端口探测尝试,发现开启了22端口;
(2)通过hydra工具暴力尝试破解用户名和密码,发现暴破成功,用户名为:root/root
(3)在攻击机上准备挖矿病毒
(4)接下来进行攻击入侵,等待脚本运行
3 应急响应
3.1 检测阶段
(1)查看服务器系统整体运行情况,发现名为dbused的可疑进程大量占用系统CPU使用率
(2)查看是否存在异常下载行为,发现wget和curl都存在异常行为
(3)查看可疑进程所对应的文件路径,发现存在/tmp目录下
(4)查看异常网络连接状态,发现可疑IP:192.168.130.131进行SSH连接
(5)检查异常进程,发现都是root用户在运行
(6)将可疑dbused文件下载下来,上传到VirusTotal,如图所示,最终确定为挖矿病毒
(7)查询特权用户和远程登录的账号信息,未发现可疑用户
(8)查看除root外的用户权限,未发现异常
(9)查看登录系统失败的用户,并在/var/log目录下查看btmp,发现可疑IP(192.168.130.131)进行大批SSH暴力破解:
(10)查看域名hosts,未发现异常
(11)查找最近24小时内修改过的文件
(12)查看历史命令
(13)查看驻留程序生成时间,最后一次改动时间为:2021-11-11 17:13:21
(14)查看服务器定时任务,在定时任务中也发现存在请求外部地址的恶意指令:
(15)查看用户的登录行为,在~/.bash_profile文件发现了下面这一行异常代码
(16)查询启动脚本的任务,发现五个可疑文件
(17)依次查看rc.d、init.d、系统服务,共发现8个异常文件
find /etc/ -name ‘’ | xargs grep ‘dbuse’ |grep rc
find /etc/ -name '’ | xargs grep ‘dbuse’ |grep init.d
find /etc/ -name ‘*’ | xargs grep ‘dbuse’ |grep systemd
(18)查看/tmp目录,共发现4个异常文件
(19)检查/etc/ld.so.preload(该文件默认为空),未发现异常的动态链接库
(20)访问定时任务中可疑链接,下载xms文件进行分析
3.2 根除阶段
(1)通过检查阶段可发现,导致挖矿病毒产生的原因为攻击者暴力破解了SSH密码,通过SSH连接传入挖矿病毒。
(2)修改弱密码,增加密码复杂度
(3)修改/etc/hosts文件,确保可疑地址不被解析
(4)杀掉进程
(5)删除恶意程序文件(程序文件采用了附加属性a i,无法直接rm删除,需使用chattr命令去除附加属性后rm删除)
(6)删除启动脚本的可疑任务文件(程序文件采用了附加属性a i,无法直接rm删除,需使用chattr命令去除附加属性后rm删除)
(7)清理定时任务/var/spool/cron/crontabs/root /var/spool/cron/crontabs/root(程序文件采用了附加属性a i,无法直接rm删除,需使用chattr命令去除附加属性后rm删除)
(8)重新启动服务器,发现未出现异常行为
(9)修复漏洞
1)设置密码通常遵循以下原则:不使用空口令或系统缺省的口令,这些口令众所周之,为典型的弱口令;口令长度不小于8个字符;口令不应该为连续的某个字符(例如:AAAAAAAA)或重复某些字符的组合(例如:tzf.tzf.);口令应该为以下四类字符的组合,大写字母(A-Z)、小写字母(a-z)、数字(0-9)和特殊字符。每类字符至少包含一个。至少90天内更换一次口令,防止未被发现的入侵者继续使用该口令。
2)修改/etc/ssh/sshd_config,将PasswordAuthentication no改为yes并去除注释。在服务器上针对ssh服务启用公钥登录,禁用密码登录;
3)定期检查各远程办公机构PC客户端安全软件安装情况及病毒库更新情况,确保每台主机安全防护是有效可用的;
4)要求各远程办公部门定期对PC进行杀毒。
Linux挖矿病毒事件应急响应演练(dbused木马)相关推荐
- 忆享科技戟星安全实验室|五分钟学会挖矿病毒的应急响应
戟星安全实验室 忆享科技旗下高端的网络安全攻防服务团队.安服内容包括渗透测试.代码审计.应急响应.漏洞研究.威胁情报.安全运维.攻防演练等 本文约1790字,阅读约需5分钟. 0x00 前言 随着虚拟 ...
- Linux应急响应-盖茨木马的处置方式
Linux应急响应-盖茨木马的处置方式 Linux盖茨木马是一类有着丰富历史,隐藏手法巧妙,网络攻击行为显著的DDoS木马,BillGates攻击程序采用C/C++语言编写,因相关的程序中分别包含&q ...
- Linux挖矿病毒清理流程
Linux挖矿病毒清理流程 1.前言: 根据阿里云快讯病毒公布: Redis RCE导致h2Miner蠕虫病毒,其利用Redis未授权或弱口令作为入口,使用主从同步的方式从恶意服务器上同步恶意modu ...
- python挖矿脚本_windows应急响应 -- powershell挖矿病毒清理办法
一.关于powershell挖矿病毒 在2019年4月22号,对公司几台服务器进行进行病毒排查,发现有两台windows服务器CPU使用过高,查看进行时发现poweshell进程占用CPU, 通过百度 ...
- Linux——挖矿病毒(sysupdate, networkservice进程)清除解决方案
问题描述 Linux进程 阿里云管理控制台看看CPU占用率 解决方案 top命令 获取进程号 查看进程运行的文件位置 ls 命令 ls -l proc/{进程号}/exe sysupdate.netw ...
- linux挖矿的清理工具,Linux挖矿病毒的清除与分析
文章目录 起因 清除过程 确定病因 开始清除 复发 定时任务 update.sh分析 修复 样本分析:networkservice文件的分析 分析准备 功能分析 sysguard 样本下载 *本文中涉 ...
- Linux挖矿病毒的清除与分析
清除过程 确定病因 这个病毒还不是算很变态,很多挖矿病毒,使用top命令都看不到挖矿程序的进程. 基本可以确定这个占据绝大部分cpu资源的进程sysupdate,就是挖矿程序了,我们需要先找到他. 使 ...
- 应急响应实战之木马实战
一.应急响应流程回顾 二.木马攻击模拟实验 (特别注意本次实验仅仅用于模拟木马攻击实验,不能拿去搞破坏,家有家规,国有国法,希望大家知法守法.) 1.环境介绍 攻击机 kali:192.168.1.1 ...
- Linux挖矿病毒排查(通过redis入侵服务器原理)
入侵原理 攻击者通过redis连接服务器在服务器上写入ssh免密登录的公钥 1.生成 ssh 公私钥文件, 写入待发送文件* ssh-keygen -t rsa -C "xxx"* ...
最新文章
- 网络推广软文之文章更新对网站排名的影响!
- 编写简单的服务和客户端(C++)---ROS学习第10篇
- 从技术角度谈游戏国际化的一些建议:版本管理和文本翻译
- SAP BTP 平台 Cloud Application Programming 编程模型概述
- 利用相机SDK采相转换至HImage
- 【干货】如何删除“自豪地采用WordPress“
- MYSQL-主键、外键
- 1、java中自己觉得重要的部分——未完待续
- 【官方文档】Fluent Bit 安装
- 如何从当前文件夹直接打开cmd快捷键
- 在互联网寒冬,程序员能够做什么?
- 在Intellij IDEA中使用Debug
- 华三模拟器启动设备失败【启动设备MSR36-20_1失败】
- 财税SaaS起风,税友股份成“中国版Intuit”?
- js中trim函数_30天中的30个Excel函数:03 – TRIM
- 关于linux 僵尸进程
- 什么是GPRS,CMWAP,CMNET-移动网络介绍
- js+html实现买机票方法
- csdn如何设置一个炫酷的背景图片,代码字体等方法
- Git 修改.gitignore如何生效?