复现应急响应文章之找到了自己服务器上的病毒
前言概述
处理linux应急响应主要分为4个环节:
识别现象->清除病毒->闭环兜底->系统加固
前言概述
本文是根据其他复现文章复现检查了一下自己的服务器,最终发现了自己的云服务器下载了被植入后门的python版本,已清除。仅供学习参考:原文连接
一、识别现象
1.1排查alias异常别名
通过alias
查看是否存在异常的别名,查看了一下,我的服务器正常
异常举例:
如果发现别名被改成:print ""
(输出为空)等等奇怪的现象,此时就需要将修改后的所有别名取消,删除别名的命令:unalias
,如果想删除所有的别名,直接使用unalias -a
即可,不过要谨慎使用,避免你设置的所有别名一下子都被清除了,自己还得一个一个重新设置回来。
这里有个小提示:别名可能被永久修改(意思就是每次重启服务器,别名都被修改一遍),所以为了防止这种情况,所以我们要一次解决到位,去进一步查
永久修改别名的文件在:
/home/用户名/.bashrc
/root/.bashrc
/etc/.bashrc针对所有用户生效
~/.bashrc是针对当前用户生效看是否存在这种情况!
接下来我们通过上面的命令检查一下,我的还是一切正常,就不放图了
异常举例:
下图左上角可以看到,通过cat /home/zyr/.bashrc
发现,文件中引用了source var/tmp/.SQL-Unix/.SQL/.db
,所以配置这个别名文件应该在这个·.db
文件中,接下来去删除即可。同理,查看/root/.bashrc
目录也能发现通过source调用了其他文件,跟着去删除。
删除别名文件
rm -rf /usr/.SQL-Unix/.SQL/.db
rm -rf /var/tmp/.SQL-Unix/.SQL/.db
删除/root/.bashrc、 /home/zyr/.bashrc文件
rm -rf /usr/.SQL-Unix/.SQL/.db
rm -rf /var/tmp/.SQL-Unix/.SQL/.db
1.2系统进程异常排查
· 通过top命令查看一下cpu占用(查看服务器cpu使用率发现 cpu使用率没有特别高的,没有接近或者超过100%的进程)
· 如果看到了可疑进程,可以使用lsof -p pid
查看进程打开的文件,或查看ls -l /proc/pid/exe
指向的文件。补充一个/proc/pid/exe的小知识:利用/proc/pid/exe恢复被删除的文件
·使用ps -aux
枚举进程命令行(病毒一般都携带可疑的命令行,当你发现命令行中带有url等奇怪的字符串时,就要注意了,它很可能是个病毒)
正常:
·使用nvidia -smi
查看服务器gpu使用率,查看gpu使用率有没有特别高的。(该命令只能在真实服务器使用,虚拟机中不可使用)
二、清除病毒
2.1恶意病毒定位
挖矿病毒一般都会有定时任务,为了防止服务器关闭之后或者病毒程序被杀掉进程之后,挖矿病毒不再运行,所以接下来我们去查看一下服务器上的定时任务:sudo crontab -l
异常举例:
发现一个未知文件,查看内容发现一个.可疑域名:eth-asia1.nanopool.org
通过微步社区识别,确认是一个矿池:
使用命令stat 文件名查看文件的创建时间,进行时间范围定位;然后再查看另一个定时文件:placi,发现该文件与文件.b4nd1d0创建时间相同,存在一定联系!
2.2清理病毒和定时任务
删除病毒文件,删除定时任务
rm -rf .b4nd1d0
rm -rf placicd /var/spool/cron
sudo rm -rf root
sudo rm -rf zyr
三、闭环兜底
Linux下的病毒持久化驻留方式相比于Windows较少,主要以4种方式:定时任务、服务、系统文件劫持、守护进程。
3.1检查定时任务是否清理干净
使用命令reboot
重启服务检查病毒是否清理干净,因为有的病毒会更改启动项,进行后门自启。重启服务器之后,检查 /var/spool/cron/crontabs
目录正常,没有病毒的痕迹
3.2是否存在SSH后门
使用命令:netstat -anpt排查是否存在ssh软链接后门,经过检查,发现被PID为2612的程序建立了大量连接。
将上诉IP放到微步社区查询,确认IP为恶意IP
使用ls -l /proc/PID/exe命令定位到进程所在程序,初步判断我是安装了植入后门的python版本
拿河马查杀工具扫了一下,确实有可疑文件
删除可疑病毒文件,并重启计算机
rm -rf /www/server/panel/pyenv/bin/python3.7m
rm -rf /www/server/panel/pyenv/bin/python3.7
rm -rf /www/server/panel/pyenv/lib/libpython3.7m.a
rm -rf /www/server/panel/pyenv/lib/python3.7/config-3.7m-x86_64-linux-gnu/libpython3.7m.a
3.3是否存在后门账号
使用命令:awk -F: '$3==0 {print$1}' /etc/passwd
使用命令:awk '/\$1|\$6/{print $1}' /etc/shadow
删除后门账号
sudo userdel -rf username #强制删除该账户以及/home/username
加上-r可以删除/home/路径下的用户文件夹,否则不能
3.4查看是否有SSH公钥后门
异常举例:
首先查看 /home/目录下的账户,发现只有一个zyr,查看ssh的公钥文件的最近更改时间与挖矿时间按事件相同,确实存在ssh公钥后门!!!
删除公钥后门
rm -f authorized_keys
3.5后门检测工具推荐
Chkrootkit是一种Linux后门入侵检测工具,可以用来检测rootkit后门的工具,可以很好的检测到rootkit程序。
wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
tar zxvf chkrootkit.tar.gz
cd chkrootkit-0.52
make sense
./chkrootkit
rkhunter是Linux系统平台下的一款开源入侵检测工具,具有非常全面的扫描范围,除了能够检测各种已知的rootkit特征码以外,还支持端口扫描、常用程序文件的变动情况检查。
Wget https://nchc.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.4/rkhunter-1.4.4.tar.gz
tar -zxvf rkhunter-1.4.4.tar.gz
cd rkhunter-1.4.4
./installer.sh --install
rkhunter -c
四、系统加固
4.1溯源分析
根据文件创建时间推测入侵事件为2022-02-15,然后去/var/log排查安全日志,通过以下一些命令再结合用户的登录情况和文件创建事件,总结分析:服务器是被ssh爆破出wxiaoge、zyr账户之后入侵并植入挖矿病毒与ssh公钥后门。
统计登录失败的记录命令
grep -o "Failed password" /var/log/auth* |uniq -c查询被爆破的用户名都有哪些以及被爆破的次数
grep "Failed password" /var/log/auth*|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr查询用户最近登录情况
grep "Accepted " /var/log/auth* | awk '{print $1,$2,$3,$9,$11}'查看 xxx账户的爆破时间段
grep "Failed password" /var/log/auth*|grep xxx账号
4.2防护检查
Linux平台下90%的病毒是通过网络传播感染的,大部分原因也是因为Web安全防护不够。Linux平台下的恶意软件威胁以僵尸网络蠕虫和挖矿病毒为主,由于Linux大多作为服务器暴露在公网,且Web应用的漏洞层出不穷,所以很容易被大范围入侵。
·修改ssh弱口令
·添加命令审计(为历史的命令增加登录的IP地址、执行命令时间等信息)
·及时打补丁
复现应急响应文章之找到了自己服务器上的病毒相关推荐
- linux x11 挖矿病毒,应急响应:记一次花样贼多的挖矿病毒
一次 "无文件"."无进程",在系统中 "几乎" 看不到异常的高配挖矿病毒处置实例 . 0x00 正经的内容介绍 本文记录了一次表象是 &q ...
- [ 应急响应 ]服务器(电脑)受到攻击该如何处理?(一)
[ 应急响应 ]服务器(电脑)受到攻击该如何处理?(一) [ 应急响应 ]服务器(电脑)受到攻击该如何处理?(二) [ 应急响应 ]服务器(电脑)受到攻击该如何处理?(三) 目录 一.应急响应是 安全 ...
- Linux服务器被入侵后的排查思路(应急响应思路)
目录 Linux-暴力破解.替换ps命令并留存后门事件复现 一.事件背景 二.应急响应过程 排查crontab后门 排查是否有命令被替换 响应过程回顾 三.事件还原 查看后门 排查安全日志 Linux ...
- Linux安全事件应急响应排查方法总结
Linux安全事件应急响应排查方法总结 Linux是服务器操作系统中最常用的操作系统,因为其拥有高性能.高扩展性.高安全性,受到了越来越多的运维人员追捧.但是针对Linux服务器操作系统的安全事件也非 ...
- linux 应急响应 病毒清除 系统加固
概述 Linux环境下处理应急响应事件往往会更加的棘手,因为相比于Windows,Linux没有像Autorun.procexp这样的应急响应利器,也没有统一的应急响应处理流程.所以,这篇文章将会对L ...
- 应急响应常用命令(Linux)---读书笔记
一.系统排查 1. 系统信息查询 lscpu --- 查看cpu信息 uname -a --- 查看OS信息 lsmod --- 查看模块信息 2. ...
- 运维基础(15) Linux 应急响应
Linux 环境下处理应急响应事件往往会更加棘手,因为相比于 Windows ,Linux 没有像 Autorun.procexp 这样的应急响应利器,也没有统一的应急响应处理流程. 所以 ,本文将会 ...
- linux系统安全应急响应
目录 前言 应急响应流程 识别现象 清除病毒 闭环兜底 系统加固 ~~~~~~~~ 因为想要面对一个新的开始,一个人必须有梦想.有希望.有对未来的憧憬.如果没有这些,就不叫新的开始,而 ...
- 2022 医疗卫生行业应急响应形势分析报告 脱敏板
声明 本文是学习2022医疗卫生行业网络安全分析报告. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们 医疗卫生行业应急响应形势分析 2021年1-12月,奇安信集团安服团队共参 ...
最新文章
- SAE上安装第三方模块
- 【译】Spring官方教程:使用STS的入门指南
- python 数据库操作 yeild from_Python数据库连接关闭
- python怎么画圆并改变线条颜色_基于logi的matplotlib中线条颜色的改变
- php 新浪url,PHP URL函数详解
- uva 10061——How many zero\'s and how many digits ?
- react leaflet_如何使用React Leaflet和Leaflet Gatsby Starter设置自定义Mapbox底图样式
- java x509certificate2_ASP.NET使用X509Certificate2出现一系列问题的解决方法
- 三星安卓手机刷linux,三星galaxy nexus刷ubutun系统的详细步骤
- html给文字设置自己下载的字体
- 如何写出一份让面试官刮目相看的高质量简历
- 中国大数据论坛第八期教育成都沙龙成功
- 亚控科技笔试面试记录
- 中国驾照在美国各州开车的规定
- php注册登录课件,登录注册验证(javascript)-php教学课件5.pdf
- Linux丢包问题排查思路
- UnityShader学习笔记:Caustic水纹焦散与鱼群制作水族馆
- 火车头dede采集接口,图片加水印,远程图片本地化,远程无后缀的无图片本地化...
- ANDROID – 單色漸層效果的改良 – GRADIENT SCRIMS(转)
- 搭建一个完整的实时日志统计平台