linux应急响应

分析报告

**攻击时段：**

2024年07月25日15时30分

**攻击影响：**

2024年07月25日15时30分，监控到某客户的IP地址为：192.168.239.130的机器异常启动

**分析过程：**

查看命令是否存在异常，然后发现存在.sh文件有异常

查看hide.sh文件的一些异常脚本文件，发现到有存在的异常守护进程路径

去检查动态库的劫持是否有异常，有异常先删除动态库的配置文件

发现ps文件存在异常假命令，去更换正常的真命令，并且查看命令是否存在异常

另外发现top文件也存在异常假命令，去更换正常的真命令，并且查看命令是否存在异常

使用top命令去查看恶意进程的CPU占用以及内存异常的进程。发现有占用CPU的恶意进程

暂停恶意进程的PID

拿到暂停的恶意进程的PID，使用lsof命令去找到恶意进程的路径，发现到恶意进程的文件路径

删除恶意进程的文件时发现没有权限去删除恶意文件，分别去查看恶意文件和目录的同时有权限需要去取消

给chattr命令进行一个权限提升，并且使用此命令去取消恶意文件的权限，会发现还是删除不了恶意文件，那么说明恶意文件的目录也存在一个权限

把恶意文件的目录去掉权限，进行删除恶意文件

恶意文件删除之后，去查看计划任务里面有没有任何异常，发现计划任务里面存在两个恶意守护进程的计划任务，并且去删除此计划任务时发现恶意计划任务存在权限，并不能进行删除

计划任务里面的恶意计划任务删除不了，那么必须先把root文件进行删除，发现root文件并不能删除，表示也有权限，用chattr命令进行去掉root文件的权限进行删除

虽然去掉了root文件，但是依然出现权限报错，很有可能是目录存在权限

用chattr命令去除掉恶意计划任务的文件的目录权限，并且去删除恶意计划任务的文件

依然出现权限报错，很有可能是目录存在权限，用chattr命令去除掉恶意计划任务的文件的目录权限，并且去删除恶意计划任务的文件

根据之前恶意脚本去查看恶意文件里面有一个守护进程的路径

编辑恶意文件会发现，并不能去修改恶意文件，去找到恶意文件的软链接路径，去除掉恶意文件的权限，使恶意文件能够正常修改

进入到恶意文件，编辑恶意文件去除掉守护进程的路径

过滤删除恶意进程的守护进程

查看开机启动项是否有异常

查看环境变量文件是否异常

最终停止恶意进程，防止恶意进程再次生成

溯源

查看登录日志，发现无记录，无法溯源

分析结论：

经过上述的分析，我们判定该服务器被挖掘恶意进程入侵，并且存在守护进程，会不断的产生恶意进程，并且导致CPU占用率飙高

加固建议：

1.更新补丁

2.实施强密码的策略，确保一些所有用户都要使用复杂且是唯一的密码

3.定期检查计划任务和配置计划任务