一次大意的木马清除
起因
我有一個朋友。。。
過程
按照這個密碼,我覺得90%的可能是被爆破了。隨即登錄進(jìn)行排查。
1. 登錄行為定位
通過history發(fā)現(xiàn)在掃描全網(wǎng)3389:
看到此處使用yum安裝了masscan,果斷查看yum日志。
發(fā)現(xiàn)了時間點,通過此時間點對登錄者進(jìn)行定位。
118.70.52.167 越南 河內(nèi) 河內(nèi)市
2. 可疑進(jìn)程
發(fā)現(xiàn)一進(jìn)程大量占用CPU,對該進(jìn)程文件進(jìn)行定位。然后通過kill -9 殺掉進(jìn)程,文件進(jìn)行改名移動。
此處我大意了。忘記截圖了,只有當(dāng)時交流的截圖。
果然一會,又新起來了一個新的進(jìn)程。
在查看進(jìn)程env時候發(fā)現(xiàn)了端倪。
同樣的,該文件刪除后也會立刻恢復(fù)。
3. 定時任務(wù)
剛開始朋友說使用crontab -l查過了計劃任務(wù),但是又無法解釋刪除后又出現(xiàn)。便查看/etc/crontab文件
gcc.sh 內(nèi)容如下:
同時也在/etc/cron.hourly/發(fā)現(xiàn)了可能是運行產(chǎn)生的臨時文件(名字也是隨機的10位字符串)
4. 清理
注釋掉/etc/crontab中的惡意內(nèi)容,將libudev.so、/usr/bin/hujqsw進(jìn)行改名移動。又發(fā)現(xiàn)/etc/init.d情況如下:
使用grep -E 進(jìn)行定位:
發(fā)現(xiàn)有一個正常的netconsole也被定位到了。可以先將其改名再恢復(fù)或者直接grep -v。
然后使用xargs進(jìn)行傳參給rm
5. ioc 溯源
118.70.52.167 越南 河內(nèi) 河內(nèi)市
41c85522f8a2a2a1235523cb3a1a24b8 libudev.so
ca1fa3bbed65438116ad707900c63ecf hujqsw
樣本已上傳微步、VT。搜索即可查看分析結(jié)果。對應(yīng)標(biāo)簽為:DoS、Xorddos
結(jié)束
總的來說,此次處理過程只能說是比較大意。有看到ps -aux結(jié)果中惡意進(jìn)程pid對應(yīng)的名字為gnome-terminal,但是沒有截圖留存。也完美體現(xiàn)了/etc/crontab文件與crontab -l命令返回的差異性。
總結(jié)
- 上一篇: PHP Web项目总结
- 下一篇: 我对锤子ROM 功能的看法——视觉篇