今天是某司网络学院的服务器被黑,记录下处理的过程,如下图是某司网络学院服务器对外进行C&C通信,客服kill掉进程之后,又产生新的恶意进程。
先来查一查连接情况,发现有个随机字符串进行对外异常连接,kill掉相关进程,果然会立马拉起一个新的以随机字符串命名的进程。
微步查一查ip地址27.*.*.61,发现与之通信的是香港的动态ip地址。
进入到该进程中(cd /proc/进程号),读取内存中的信息(cat * |strings -n 5 |more即可查看内存中的信息),发现该病毒通过创建init.d脚本来启动恶意进程,写入到rc%d.d里面实现自启动。同时恶意进程还会在/etc/cron.hourly/目录下生成gcc4.sh脚本。
继续查看内存中的内容,发现恶意进程通过sed -i修改crontab启动文件,将恶意脚本/etc/cron.hourly/gcc4.sh写入到crontab启动文件中。
查看/etc/cron.hourly/目录下,存在gcc4.sh恶意文件。
查看gcc4.sh恶意文件内容,是将恶意可执行的文件libudev4.so复制到lib目录下
查看lib目录下,存在libudev4.so文件,libudev4.so文件的时间,是2018年4月18日创建,计算该libudev4.so文件的md5值,上传到virustotal上查询,可以发现是个病毒文件,这里忘了截图了
查看crontab启动文件,发现里面果然被添加了启动项/etc/cron.hourly/gcc4.sh
最后的处置方式为:
- 用vim删除corntab文件中启动gcc4.sh的那段代码,
- 用chattr锁定corntab启动项,防止病毒文件再次写入,
- 删除/etc/cron.hourly/目录下的gcc4.sh脚本,使用chattr锁定/etc/cron.hourly/目录
- 重启并删除libudev.so文件,最后删除释放在/bin目录和/etc/init.d目录下的随机字符串文件。
- Kill掉随机字符串进程,再次重启(原则上只要重启一次,怕是某云的什么bug)。
重启服务器 随机字符的进程不再被拉起,corntab正常,除/etc/cron.hourly/目录正常,网络连接正常。
last查看登录情况,果然发现有一个江苏常州的恶意IP在4月11日就已经登录过该服务器,该ip地址被微步标记为撞库,咨询了管理人员,服务器SSH密码采用常见的键盘密码,容易被字典撞库撞到。
4万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
