应急响应案例:木马清理
一、案例背景
某用户页面打开缓慢,监控发现服务器CPU负载高。
二、问题说明
登录服务器核实为木马导致CPU过高。
三、原因分析
1、云镜分析
1)、云镜在线状态
2)、存在木马文件
3)、存在暴力破解记录
2、安全组分析
1)、centos 系统,公有镜像。
2)、没有配置安全组
简单分析,由于没有配置安全组,导致出现木马入侵。
四、解决办法
1、准备工作
1)、对服务器进行快照备份。
2)、上传busybox到服务器
2、木马清理
1)、存在挖矿木马
2)、检测计划任务 crontab
a)、crontab 无木马痕迹
b)、无其它crontab任务,切换目录到/var/spool/cron/
3)、存在动态链接库
**ld.so.preload中加载了木马文件**a)、删除 /etc/ld.so.prereload中内容
b)、删除 /usr/local/lib/libprocesshider.so
4)、核实/etc在3天内更新的文件
无明显异常
5)、核实启动项
a)、/etc/init.d
bt程序
此次应该是BT程序,用户安装的。
b)、查看/etc/systemd/system/multi-user.target.wants
pwnriglhttps.service 存在异常,该木马在6月2日就已经存在了。
经核实,该服务就是 挖矿 木马的监控脚本。清理方法如下:
6)、免密登录 -- 不存在免密登录
7)、其它
a)、/etc/hosts 无异常
b)、/etc/profile 无异常
c)、/etc/profile.d/中脚本 无异常
d)、/root/ .bashrc 和 /etc/bashrc 无异常
3、溯源分析
由于云镜存在暴力破解记录,所以是用户的密码过于简单所致。
入侵者的IP为: 112.30.128.37
该IP在5月22号被入侵成为了肉鸡。所以源入侵IP,也是受害者。
五、加固建议
1、服务器设置大写、小写、特殊字符、数字组成的12-16位的复杂密码 ,也可使用密码生成器自动生成复杂密码,这里给您一个链接参考:https://suijimimashengcheng.51240.com/
2、删除服务器上设置的不需要的用户
3、对于不需要登录的用户,请将用户的权限设置为禁止登录
4、修改远程登录服务的默认端口号以及禁止超级管理员用户登陆
Windows远程端口修改参考文档:https://cloud.tencent.com/developer/article/1052163
Linux远程端口修改参考文档:https://cloud.tencent.com/developer/article/1124500
5、较为安全的方法:只使用密钥登录禁止密码登陆 (针对Linux系统)
6、腾讯云平台有安全组功能,里面您只需要放行业务协议和端口,不建议放行所有协议所有端口,参考文档: https://cloud.tencent.com/document/product/215/20398
7、如果您的本地外网IP固定,建议使用安全组或者系统防火墙禁止除了本地外网IP之外所有IP的登录请求
六、扩展说明
1、BusyBox
BusyBox 是一个集成了三百多个最常用Linux命令和工具的软件。BusyBox 包含了一些简单的工具,例如ls、cat和echo等等,还包含了一些更大、更复杂的工具,例grep、find、mount以及telnet。有些人将 BusyBox 称为 Linux 工具里的瑞士军刀。简单的说BusyBox就好像是个大工具箱,它集成压缩了 Linux 的许多工具和命令,也包含了 Android 系统的自带的shell。
百科地址:https://baike.baidu.com/item/busybox/427860?fr=aladdin
2、微步在线
“微步在线” ,定位以安全威胁情报 (Threat Intelligence) 服务为中心的安全公司。
举报
腾讯云开发者
