首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >应急响应案例:kdevtmpfsi挖矿木马

应急响应案例:kdevtmpfsi挖矿木马

原创
作者头像
何刚
修改2020-11-07 16:12:20
3.7K2
修改2020-11-07 16:12:20
举报

一、案例背景

某用户CPU负载100%,但并看不到具体哪个进程导致的。

TOP
TOP

二、安全分析

1、隐藏进程

经过busybox核实到存在隐藏进程,百度核实为挖矿病毒

异常进程
异常进程

2、crontab 存在异常任务

计划任务
计划任务

下载链接已经失效,IP为海外。

链接下载
链接下载

3、进程文件并不存在

文件不存在
文件不存在

明显该木马在运行成功后,会自动清理运行文件。

4、文件dump出来核实是否为木马

dump进程
dump进程

Virustotal 中核实文件是否异常。https://www.virustotal.com/gui/

dump进程
dump进程

5、/etc/ld.so.preload存在加载 /etc/ Iibsystem.so

dump进程
dump进程

6、监控项核实

System监控中bot为近期配置的。

监控
监控

通过配置可以发现是 kinsing的监控。

停止:systemctl disable bot

kinsing
kinsing

Kinsing不可以用通配符查到。这个和system.so有关。

得到自己的登录的sshd,分析发现登录后就已经加载了libsystem.so

登录加载
登录加载

所以在登录后,所有的操作都是libsystem.so让你看到的。

7、其它核实

1)、/etc/rc.d/rc.local

2)、/etc/rc.d/rc3.d/

3)、/root/.bashrc

4)、/etc/profile

5)、/etc/profile.d/

并没有发现其它异常点。

三、system.so核实

1、进程端口隐藏

隐藏函数
隐藏函数

Libsystem中存在隐藏函数。

隐藏进程和端口
隐藏进程和端口

端口和进程都存在隐藏。

2、进程删除

进程删除
进程删除

四、清理方法

1、清理

#清理 crontab >/var/spool/cron/root # 清理 /etc/hosts sed -i -e "s/172.17.32.9 gmcq.361yx.cn//g" /etc/hosts #解除加载异常动态库 > /etc/ld.so.preload #删除异常动态库 rm -fr /etc/libsystem.so #清除木马病毒 rm -fr /etc/kinsing && touch /etc/kinsing && chattr +ia /etc/kinsing rm -fr /tmp/kdevtmpfsi && touch /tmp/kdevtmpfsi && chattr +ia /tmp/kdevtmpfsi #删除服务项目并中止进程 systemctl disable bot.service systemctl stop bot.service #再次清理 ps aux |grep kinsing|awk '{print $2}'|xargs kill -9 ps aux |grep kdevtmpfsi |awk '{print $2}'|xargs kill -9

#清理完成后,建议立即重启。

2、验证

重新登录,核实已经没有加载libsystem.so了。

验证
验证

五、溯源分析

通过分析web日志,存在Webshell请求。

六、加固建议

1、WEB域名加入WAF防护

2、安全组仅放通80端口,并禁止其它端口对外

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 一、案例背景
  • 二、安全分析
    • 1、隐藏进程
      • 2、crontab 存在异常任务
        • 3、进程文件并不存在
          • 4、文件dump出来核实是否为木马
            • 5、/etc/ld.so.preload存在加载 /etc/ Iibsystem.so
              • 6、监控项核实
                • 7、其它核实
                • 三、system.so核实
                  • 1、进程端口隐藏
                    • 2、进程删除
                    • 四、清理方法
                      • 1、清理
                        • 2、验证
                        • 五、溯源分析
                        • 六、加固建议
                        相关产品与服务
                        Elasticsearch Service
                        腾讯云 Elasticsearch Service(ES)是云端全托管海量数据检索分析服务,拥有高性能自研内核,集成X-Pack。ES 支持通过自治索引、存算分离、集群巡检等特性轻松管理集群,也支持免运维、自动弹性、按需使用的 Serverless 模式。使用 ES 您可以高效构建信息检索、日志分析、运维监控等服务,它独特的向量检索还可助您构建基于语义、图像的AI深度应用。
                        领券
                        问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档