起因

我有一個(gè)朋友。。。

過程

按照這個(gè)密碼，我覺得90%的可能是被爆破了。隨即登錄進(jìn)行排查。

1. 登錄行為定位
通過history發(fā)現(xiàn)在掃描全網(wǎng)3389：

看到此處使用yum安裝了masscan，果斷查看yum日志。

發(fā)現(xiàn)了時(shí)間點(diǎn)，通過此時(shí)間點(diǎn)對登錄者進(jìn)行定位。

118.70.52.167 越南 河內(nèi) 河內(nèi)市

2. 可疑進(jìn)程
發(fā)現(xiàn)一進(jìn)程大量占用CPU，對該進(jìn)程文件進(jìn)行定位。然后通過kill -9 殺掉進(jìn)程，文件進(jìn)行改名移動(dòng)。
此處我大意了。忘記截圖了，只有當(dāng)時(shí)交流的截圖。

果然一會，又新起來了一個(gè)新的進(jìn)程。

在查看進(jìn)程env時(shí)候發(fā)現(xiàn)了端倪。

同樣的，該文件刪除后也會立刻恢復(fù)。

3. 定時(shí)任務(wù)
剛開始朋友說使用crontab -l查過了計(jì)劃任務(wù)，但是又無法解釋刪除后又出現(xiàn)。便查看/etc/crontab文件

gcc.sh 內(nèi)容如下:

同時(shí)也在/etc/cron.hourly/發(fā)現(xiàn)了可能是運(yùn)行產(chǎn)生的臨時(shí)文件（名字也是隨機(jī)的10位字符串）

4. 清理
注釋掉/etc/crontab中的惡意內(nèi)容，將libudev.so、/usr/bin/hujqsw進(jìn)行改名移動(dòng)。又發(fā)現(xiàn)/etc/init.d情況如下：

使用grep -E 進(jìn)行定位：

發(fā)現(xiàn)有一個(gè)正常的netconsole也被定位到了。可以先將其改名再恢復(fù)或者直接grep -v。
然后使用xargs進(jìn)行傳參給rm

5. ioc 溯源
118.70.52.167 越南 河內(nèi) 河內(nèi)市
41c85522f8a2a2a1235523cb3a1a24b8 libudev.so
ca1fa3bbed65438116ad707900c63ecf hujqsw
樣本已上傳微步、VT。搜索即可查看分析結(jié)果。對應(yīng)標(biāo)簽為：DoS、Xorddos

結(jié)束

總的來說，此次處理過程只能說是比較大意。有看到ps -aux結(jié)果中惡意進(jìn)程pid對應(yīng)的名字為gnome-terminal，但是沒有截圖留存。也完美體現(xiàn)了/etc/crontab文件與crontab -l命令返回的差異性。

總結(jié)

以上是生活随笔為你收集整理的一次大意的木马清除的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。