Note-53657-12

Token ID: 1

ERC-721 1 Transfers

Metadata

{
  "title": "记一次linux下的应急响应",
  "tags": [
    "post",
    "应急响应",
    "linux"
  ],
  "summary": "某同事在某单位遇到一个linux主机运行不正常,疑似服务器被植入恶意代码,叫我这边看下,当时同事了解到,由于服务器业务出现问题,导致客户登陆服务器查看情况,对异常进程进行查杀之后,恢复正常,但之后该进程又会重新启动。",
  "sources": [
    "xlog"
  ],
  "external_urls": [
    "https://lca.xlog.app/ji-yi-ci-linux-xia-de-ying-ji-xiang-ying"
  ],
  "date_published": "2023-04-18T13:41:58.445Z",
  "content": "## 0x01 事件描述\n\n某同事在某单位遇到一个linux主机运行不正常,疑似服务器被植入恶意代码,叫我这边看下,当时同事了解到,由于服务器业务出现问题,导致客户登陆服务器查看情况,对异常进程进行查杀之后,恢复正常,但之后该进程又会重新启动。\n\n要了服务器的登陆信息之后,开始进行排查。\n\n## 0x02 漏洞排查\n\n1、用户根目录发现一个异常文件。\n\n\n![image](ipfs://bafkreich5hl6lstgtdyuagpfmsnzvq6x4luhjzyajdu6x6s6m7j3b6n4ce)\n\n\n2、通过火绒进行查杀\n\n\n![image](ipfs://bafkreifj2caw4utyn75oghkv3cx2tsgljrsohgyc253mnjwcevmauj7h2u)\n\n\n3、stat命令查看文件状态\n\n\n![image](ipfs://bafkreibdgq5fqr7m2yu2cfjhio44fwbmjt2wmh6ocskqsd3jy3j4sfuueq)\n\n\n - Access : 文件最近一次被访问的时间  \n - Modify: 文件内容最近一次被修改的时间  \n - Change: 文件属性最近一次被改变的时间\n\n4、存在异常账户\n\n![1551858013114.jpg](ipfs://bafkreiew27ddj5ot67tp4vg7ybrrwt4k3hunzn6okdagwifgphhgoo776u)\n\n5、在home目录下也发现一个异常文件tufei34。\n\n\n![image](ipfs://bafkreibziz5kjmisqzchfkxiyw4inwylb5vir7dw4bek4nojpo7n7bsgq4)\n\n\n6、通过在线云沙箱(https://s.threatbook.cn)检测,发现为木马后门。\n\n\n![image](ipfs://bafkreigjalpyh3p3kiliuy7f55u3am3q2ui2zcn2pftrjul5h3rcnignci)\n\n\n\n![image](ipfs://bafkreibxbgjbesx5hcj2ad7jh3ogduewp7l5rw7y7mvmn4j4ro3meuprxu)\n\n\n7、利用utmpdump对该二进制文件提取可读内容,发现对外连接了许多异常ip。\n\n\n![image](ipfs://bafkreifpojfggjdwydr7fzlommpuol5lmus3osib2ifs3bjzgdbaxttlhe)\n\n\n火绒杀毒软件扫描结果。\n\n![火绒杀毒][9]\n\n8、通过top命令对进程进行排查,发现异常进程`rvnshcqhiq`,进程id为13987,通过对进程id进行分析,发现其对外连接到ip183.ip-178-32-145.eu,这个域名也为一个异常域名。\n\n\n![image](ipfs://bafkreidheeivugmsdjqn3cmervwy5if3wtpubh3xxpgnc53org2q3asj44)\n\n\n9、lsof -p PID,查看进程的连接情况,该异常文件位于/usr/bin下\n\n![lsof -p13987][11]\n\n![异常域名][12]\n\n10、将异常文件`rvnshcqhiq`下载下来,通过在线云沙箱(https://s.threatbook.cn)对这个木马进行进一步分析,发现其为Xorddos木马。\n\n![云检测][13]\n\n![云检测][14]\n\n11、使用pstree也可以看到异常文件进程\n\n![pstree][15]\n\n12、利用`strings /usr/bin/rvnshcqhiq`对木马文件进行排查,发现该木马文件启动了计划任务,每三分钟执行一次。\n\n![strings /usr/bin/rvnshcqhiq][16]\n\n13、查看任务计划文件。\n\n![计划任务文件][17]\n\n![计划任务][18]\n\n14、同时在/usr/bin/目录下也发现其他的木马文件。\n\n![其他木马文件][19]\n\n![恶意文件开机自启动][20]\n\n15、查看自启动文件`ls /etc/rc*`\n\n![ls /etc/rc*][21]\n\n## 0x03 使用`clamav`进行查杀\n\n使用clamav进行查杀的效果,`clamscan -r /usr/bin`\n\n![clamav1][22]\n\n![clamav2][23]\n\n![clamav3][24]\n\n对其中的一个/usr/bin/.ssh文件进行分析,发现大量异常ip。\n\n`strings /usr/bin/.sshd | egrep '[1-9]{1,3}\\.[1-9]{1,3}\\.'`\n\n![.ssh][25]\n\n利用clamav扫描/etc/目录下的文件。\n\n![clamav4][26]\n\nMysql也为木马文件。\n\n![Mysql][27]\n\n对登录记录进行分析,登录成功的ip前两个分别为54.36.137.146和37.44.212.223,这两个ip都为境外ip。\n\n```shell\ngrep 'Accepted' /var/log/secure | awk '{pirnt $11}' | sort | uniq -c | sorn -nr\n```\n\n![登录记录分析1][28]\n\n![登录记录分析2][29]\n\n![登录记录分析3][30]\n\n## 0x04 解决建议\n\n- 对服务器的异常文件进行清理,由于木马会自动生成,所以先把木马文件的权限关闭,然后删除开机自启动的木马程序和软链接,手动清除全部木马原始文件,同时,将恶意文件生成的计划任务清空。\n- 安装 clamav 扫描并删除感染文件。\n- 在条件允许的情况下,建议对服务器进行重新部署,防止出现病毒遗留的症状。\n\n\n[9]: https://www.github.com/olist213/olistimg/raw/master/olistimg/1551858413906.jpg\n[10]: https://www.github.com/olist213/olistimg/raw/master/olistimg/1551858449465.jpg\n[11]: https://www.github.com/olist213/olistimg/raw/master/olistimg/1551858475540.jpg\n[12]: https://www.github.com/olist213/olistimg/raw/master/olistimg/1551858507126.jpg\n[13]: https://www.github.com/olist213/olistimg/raw/master/olistimg/1551858570403.jpg\n[14]: https://www.github.com/olist213/olistimg/raw/master/olistimg/1551858580141.jpg\n[15]: https://www.github.com/olist213/olistimg/raw/master/olistimg/1551858839155.jpg\n[16]: https://www.github.com/olist213/olistimg/raw/master/olistimg/1551858599053.jpg\n[17]: https://markdown.xiaoshujiang.com/img/spinner.gif \"[[[1551858624803]]]\"\n[18]: https://www.github.com/olist213/olistimg/raw/master/olistimg/1551858656397.jpg\n[19]: https://www.github.com/olist213/olistimg/raw/master/olistimg/1551858699423.jpg\n[20]: https://www.github.com/olist213/olistimg/raw/master/olistimg/1551858745237.jpg\n[21]: https://www.github.com/olist213/olistimg/raw/master/olistimg/1551858785119.jpg\n[22]: https://www.github.com/olist213/olistimg/raw/master/olistimg/1551858955621.jpg\n[23]: https://www.github.com/olist213/olistimg/raw/master/olistimg/1551858967271.jpg\n[24]: https://www.github.com/olist213/olistimg/raw/master/olistimg/1551859075576.jpg\n[25]: https://www.github.com/olist213/olistimg/raw/master/olistimg/1551859007106.jpg\n[26]: https://www.github.com/olist213/olistimg/raw/master/olistimg/1551859263455.jpg\n[27]: https://www.github.com/olist213/olistimg/raw/master/olistimg/1551859063945.jpg\n[28]: https://www.github.com/olist213/olistimg/raw/master/olistimg/1551859157667.jpg\n[29]: https://www.github.com/olist213/olistimg/raw/master/olistimg/1551859172260.jpg\n[30]: https://www.github.com/olist213/olistimg/raw/master/olistimg/1551859176069.jpg",
  "attributes": [
    {
      "value": "ji-yi-ci-linux-xia-de-ying-ji-xiang-ying",
      "trait_type": "xlog_slug"
    }
  ]
}