应急实战(13)：被上传了一堆恶意程序

1. Preparation

1.1 部署安全设备

部署主机安全产品：牧云HIDS

2. Detection

2.1 安全设备告警

2024-10-20 20:53:31，牧云HIDS检测到服务器存在恶意文件/etc/pm/ /z

登录牧云HIDS，发现共4个恶意文件

1、/etc/pm/' '/z

2、/etc/xdg/' '/.cm/mig

3、/etc/udev/' '/.c/init

4、/etc/X11/.lans/scan2

除此之外没有其他告警

3. Containment

3.1 终止进程相关恶意程序 /usr/sbin/httpd

/usr/sbin/httpd程序的5487进程跑满了CPU

该进程无父进程可kill，直接kill掉就行

该程序已找不到，无东西可删

3.2 终止网络相关恶意程序 /etc/pm/' '/z

北马其顿的77.28.139.81登录了ssh，但未执行其他命令，无需进一步排查，直接kill掉该连接的进程即可

法国的94.23.69.199，已无父进程，在执行恶意程序/etc/pm/ /z，需kill掉该连接的进程并删掉恶意程序

/etc/pm/目录、/etc/pm/' '/z文件

Kill掉恶意进程，删掉恶意程序

3.3 删除告警相关恶意程序 /etc/xdg/' '/.cm/z

/etc/xdg/目录

/etc/xdg/' '/.cm/mig文件、/etc/xdg/' '/.cm/z文件

删除恶意程序

3.4 删除告警相关恶意程序 /etc/udev/' '/.c/init

/etc/udev/目录

/etc/udev/' '/.c/init文件

删除恶意进程

3.5 删除告警相关恶意程序 /etc/X11

/etc/X11/m目录，未找到/etc/X11/.lans/scan2文件

删除恶意文件

3.6 删除时间相关恶意文件 /tmp/resolv.conf

发现攻击者配置了解析恶意域名的DNS服务器，需删除

4. Eradication

4.1 清理系统用户后门

发现新用户java

删除java用户

root用户的密码已被攻击者修改，导致无法登录，需要修改密码

4.2 加固弱口令漏洞

由于服务器只开放了ssh服务，且只有root用户可登录，因此怀疑是root被爆破了弱口令，需要修改弱口令

备注：/var/log/secure日志被删了，牧云HIDS因为爆破告警太多也关闭了爆破检测功能

5. Recovery

5.1 恢复root用户登录

见4.1章节

5.2 恢复secure日志记录

检查 发现/var/log/secure日志记录功能失效

重启服务即可解决

6. Follow-Up

6.1 远程存储日志

由于服务器中的日志会被攻击者删除，导致无法进行攻击路径溯源，后续可考虑将日志发送到远程服务器进行存储。