关注我们
QRcode 邮件联系 新浪微博
首页 > 系统安全 » 正文

一次真实的Linux服务器挖矿程序排查案例,顺道干掉一个DDoS后门

     条点评
后台-系统设置-扩展变量-手机广告位-内容正文顶部

一、背景

上周有朋友反映一台服务器流量超标, 怀疑中木马,请求帮忙处理,平时长期在应用层打杂习惯了,其实并没有什么底气去排查系统底层后门这些东西 。但是既然有需求,当然还是尽力去解决。当然这一过程也受益匪浅,就和大家分享一下。

二、发现和追踪过程

1. 查看系统状态信息发现问题

发现目标主机存在可疑IP连接信息

经排查系tmp目录下的可疑文件Welcom运行,同时发现了复制在bin目录下的双胞胎。

2. top动态查看进程,确定果然是/tmp/Welcom这玩意在搞怪


3. 拉下来稍微研究了下,逆向能力一般,只能最简单的看了看

各位可自行去拉取脚本

看行为应该是挺典型的minerd挖矿程序,应该是做过变异,哈勃竟然查不出来问题。

后边用其他引擎扫了扫基本也能确定类型


4、根据恶意程序的脚本,去查看系统定时任务

根据排查,恶意程序的感染时间较久,根据文件用户属性应是来源于最初的Tomcat所属权限的用户,可能是通过前期低版本的Tomcat服务器漏洞被利用导致,后来以root用户运行了Tomcat导致感染了root用户。(最初的症状就是一开启Tomcat就流量超标)。

三、清理方案

1. 清除主机上所有的非自主设置定时任务;

2. 清除/tmp目录下可疑文件,该目录为临时文件,建议不需要的都可清理

3. 清除Bin目录下Welcom文件

4. 清除/var/spool/cron/rootc文件

5. 清除/etc/wnell

6. 杀死Welcom进程(pkill Welcom观察一段时间是否有重启迹象)

7. Iptalbless或防火墙策略限制对恶意IP:45.76.78.9和域名的连接http://love.suime.win/   (无法第一时间清除程序或无法保证清除干净的双保险)

8. 删除系统中不用的账户

9. 关闭不需要的端口和服务,卸载不需要的组件如samba

10. 升级openssh到最新版本、Tomcat也及时升级最新版本(不建议使用root用户权限启动tomcat)

11. 排查/root/.ssh/目录下是否都是信任的主机,排除内网已有其他主机被攻击作为跳板机的可能。

附录(顺道发现的DDoS后门):

在排查开机启动项时,发现/etc/init.d明显两个时间和长相都很怪异的文件,其实在清理/tmp目录时候已经怀疑了/tmp/phpsos,就扔给一位逆向大牛同事分析了下,说是很明显的DDoS.

后来查了下,这类木马比较常见,分享一下当时我用的笨方法比较快速的清除,

1.根据发现的那两个恶意文件入侵时间定位了那个时间点被修改的所有文件(很常见的替换ps和netstat…)

2. 根据文件的大小,找出所有木马主运行程序

其实刚刚才知道可以根据文件字节大小直接查找同样大小的文件 find / -size 1223123c

清除结束后最后还得copy或者重装正常的系统命令。

*本文作者:弹指江山,转载请注明来自FreeBuf.COM

国信证券

高级安全工程师 [深圳市]

37k-58k 3-5年/本科

微博

安全工程师(校招) [北京市]

15k-25k 应届生/本科

平安银行

资深Web安全工程师 [深圳市]

25k-50k 3-5年/本科

更多职位
后台-系统设置-扩展变量-手机广告位-内容正文底部
本文标签:
全国首例!Wmixml新型挖矿病毒预警,已有企业被成功渗透
病毒预警 | GandCrab最新变种来袭
  全国首例!Wmixml新型挖矿病毒预警,已有企业被成功渗透 全国首例!Wmixml新型挖矿病毒预警,已有企业  静态分析一款锁首的RootKit样本 静态分析一款锁首的RootKit样本  双枪2木马驱动分析报告 双枪2木马驱动分析报告  利用Java反序列化漏洞在Windows上的挖矿实验 利用Java反序列化漏洞在Windows上的挖矿  大规模SMB爆破引发的十年之思 大规模SMB爆破引发的十年之思  现代版荆轲刺秦王:Struts2 REST插件漏洞(S2 现代版荆轲刺秦王:Struts2 REST插件漏洞(S2  “爱马仕”敲诈者:敲诈者中的奢侈品 “爱马仕”敲诈者:敲诈者中的奢侈品  Bondat蠕虫再度来袭!控制PC构建挖矿僵尸网络 Bondat蠕虫再度来袭!控制PC构建挖矿僵尸网

已有条评论,欢迎点评!