应急实战(12):小小挖矿竟留4个后门

最新推荐文章于 2025-01-04 15:19:07 发布
最新推荐文章于 2025-01-04 15:19:07 发布
阅读量1k 收藏 10
点赞数 14
分类专栏: 应急实战 文章标签: 网络 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53721197/article/details/143175003
版权

1. Preparation

    1.1 部署安全设备

2. Detection

    2.1 安全设备告警

3. Containment

4. Eradication

    4.1 删除恶意程序

    4.2 清除自启服务后门

    4.3 清除动态链接库后门

    4.4 清除计划任务后门

    4.5 清除系统帐号后门

    4.6 加固弱口令漏洞

5. Recovery

    5.1 恢复SSH服务

6. Follow-Up

公众号后台回复“20241020”获取本次事件样本

1. Preparation

1.1 部署安全设备

部署主机安全产品:牧云HIDS

bf269e9b8589157905456c2ed51b19c3.png

2. Detection

2.1 安全设备告警

2024-10-16 22:59:20,牧云HIDS检测到恶意文件/dev/shm/cleantaskx

bb1c41db402727a4b6f60815a94d7121.png

2024-10-17 00:12:18,/dev/shm/cleantaskx外联矿池,域名是pool.supportxmr.com,IP地址是德国的141.94.96.144

8d0a3e8c1385e7b94b6b3723f970ad1d.png

3. Containment

检查网络连接,仅发现荷兰的172.233.39.205正在爆破ssh服务,与本次事件无关,封禁IP地址即可

897ff815d3b01ce7c576031ec0f54a21.png

查看进程情况,没有需要立即处置的

288772af70ee1bcecf3d1ec90a937049.png 

4. Eradication

4.1 删除恶意程序

未找到告警中的恶意程序/dev/shm/cleantaskx,告警中有用的信息只剩下告警时间

1e0d748acd541e55e009370952758b01.png

基于告警时间排查可疑文件,结合微步沙箱,发现7个恶意文件:

1、/etc/resolv.conf:攻击者添加了DNS服务器的IP地址8.8.8.8,可忽略

2、/usr/bin/mslog/tools.tar:内含恶意程序libsimplesshd.so、rcu_scheb、udeb,需删除

3、/usr/local/lib/libsimplesshd.so:从tools.tar解压出来的恶意动态链接库,需删除

4、/usr/bin/udeb:从tools.tar解压出来的恶意程序,需删除

5、/etc/systemd/system/systemd-slide.service:加载恶意程序/usr/bin/udeb的自启服务后门,需清除

6、/etc/ld.so.preload:加载恶意动态链接库/etc/systemd/system/systemd-slide.service的动态链接库后门,需清除

7、/var/spool/cron/root:加载恶意程序/root/.cfg.dealer的计划任务后门,需清除

716985b5a4ee01235730b6986ca7214f.png

401e95cb477e9186aeef5524067ca17e.png

acc8d53edd3f082d0d9318d670c695c4.png

b764d2f863e4e2aff5990421f4b35d22.png

对于2、3、4的恶意程序tools.tar、libsimplesshd.so、udeb,删除即可

5a2a628df0631ad4df974a54f9dc1a45.png

4.2 清除自启服务后门

在4.1章节发现了自启服务配置文件/etc/systemd/system/systemd-slide.service存在加载恶意程序/usr/bin/udeb的后门

需删除程序程序/usr/bin/udeb

2b24b34fde36b69a0e6e75636b61d4f3.png

需禁用自启服务systemd-slide.service,并删除自启服务配置文件/etc/systemd/system/systemd-slide.service

ae2d6fb5f688f2067f31ddc33768f927.png

4.3 清除动态链接库后门

在4.1章节发现了动态链接库配置文件/etc/ld.so.preload存在加载恶意动态链接库/usr/local/lib/libsimplesshd.so的后门

需删除恶意动态链接库/usr/local/lib/libsimplesshd.so

54873845ab60233634fbf613bb17f129.png

需清除动态链接库配置文件/etc/ld.so.preload中的配置

98249bbde419a27b2478b99c5d700b81.png

需要说明的是,在删除恶意动态链接库/usr/local/lib/libsimplesshd.so之后、清除动态链接库配置文件/etc/ld.so.preload之前,会存在如下报错:

ERROR: ld.so: object '/usr/local/lib/libsimplesshd.so' from /etc/ld.so.preload cannot be preloaded: ignored.

4.4 清除计划任务后门

在4.1章节发现了计划任务配置文件/var/spool/cron/root存在加载恶意程序/root/.cfg.dealer的后门

83f65912fee939bda595ce87099e5535.png

需删除恶意程序/root/.cfg/dealer,但未找到该文件

9003284c19b64f9b508bdd342df27251.png

需清除计划任务配置文件/var/spool/cron/root中的配置

a4886703b63647bb9bcf04e9628d30e0.png

4.5 清除系统帐号后门

攻击者于2024-10-16 22:56:22创建系统帐号iksi,使用命令 userdel -rf iksi 删除即可

3d76220a43a497501cdda30d91179bd3.png   

攻击者同时修改了root用户的密码,主要目的是避免其他攻击者爆破登录,这导致root帐号也成为了后门,需修改密码

3f9b7b1f8618b3cf33c2eab6a0cfc9e5.png

4.6 加固弱口令漏洞

已在4.5章节加固

5. Recovery

5.1 恢复SSH服务

已在4.5章节恢复

6. Follow-Up

不涉及

Kernel: “rcu_sched detected stalls“ 与 “task khugepaged:47 blocked for more than 120 seconds”
mzhan017的博客
08-02 1822
khugepaged 进程block
Linux 服务器挖矿木马防护实战:快速切断、清理与加固20250114
最新发布
Narutolxy的博客
01-14 955
详解Linux服务器挖矿木马的快速响应、全面清理和系统加固方案,助力运维人员提升应急处置能力。
挖矿木马和后门植入的渗透测试及应急响应项目
weixin_53930961的博客
03-29 1125
粘滞键、放大镜后门,挖矿木马,hydra ,msfconsole
@monthly /root/.cfg/./dealer病毒清除
星星的博客
06-25 2702
@monthly /root/.cfg/./dealer病毒清除
浅扒挖矿木马程序文件
Ppandaer的博客
09-30 706
通过上述步骤和技术手段,你可以尽可能地了解文件的创建者、来源以及幕后主使。然而,由于黑客技术的复杂性和隐蔽性,完全追踪幕后主使可能非常困难。如果你怀疑系统被感染,建议立即采取措施隔离受影响的主机,并寻求专业的安全团队帮助。
Linux 内核分析 rcu_sched self-detected stall on CPU
小立仔
09-26 9551
Linux 内核分析 rcu_sched self-detected stall on CPU问题分析
渗透测试模拟实战——暴力破解、写入ssh公钥后门、植入GPU WK程序(靶机系统:ubuntu)
02-18
渗透测试模拟实战——暴力破解、写入ssh公钥后门、植入GPU WK程序(靶机系统:ubuntu),真实有效,如有侵权,请联系csdn删除即可
windows&linux&web安全应急响应实战笔记
09-18
这是一个关于安全事件应急响应的项目,从系统入侵到事件处理,收集和整理了一些案例进行分析。 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最...
渗透测试模拟实战——暴力破解、定时任务后门与shift粘贴键后门、植入WaKuang程序(对应靶场和wakuang样本)
03-24
渗透测试模拟实战——暴力破解、定时任务后门与shift粘贴键后门、植入WaKuang程序(靶机系统:Windows2008)对应的靶场和wakuang样本,参考教程链接:...
应急响应实战笔记.rar
02-14
应急响应实战笔记,包含入侵排查篇:Windows 入侵排查、Linux 入侵排查、常见的 Webshell 查杀工具、如何发现隐藏的 Webshell 后门、勒索病毒自救指南;日志分析篇:Windows日志分析、Linux日志分析、Web日志分析、...
Linux环境设置后门渗透测试
kelenwait的博客
06-28 255
前言 在渗透检测过程中或者在hvv比赛中,接管到服务器后,白天不敢搞大动作,最怕的是对方管理员直接关站了,*_* 笑哭,多次都是在线攻防。很多时候掉线了就再也连不上,有小后门是一种不得不采取的措施,以致让我们能顺利的完成安全检测,最后切记后门要删掉,安全初心不可变! 后门方式 1.创建超级用户 2.使用定时任务 3.ssh后门 4.ssh 公钥免密登录 5.木马文件隐藏 实现步骤 1.创建超级用户 第一种方式 #添加用户 使其与root同组 useradd root1 -g root &&
隐藏挖矿木马rcu_tasked的查杀
夫礼者的专栏
08-13 2240
隐藏挖矿木马rcu_tasked的查杀
centos服务器中病毒dealer sshc tutu
weixin_42502379的博客
09-12 1039
dealer sshc tutu centos 服务器病毒处理过程
详细查看某个文件的相关信息
Ppandaer的博客
09-30 578
要查看文件。
挖矿木马和后门植入的渗透测试及应急响应项目writeup
m0_64133638的博客
07-15 2724
近年来,加密货币的迅速发展,也催生了一种全新的黑产——挖矿木马。挖矿木马源于数字货币,利用挖矿程序获取数字货币利益。随着比特币等数字货 币交易价格的不断攀高,各类挖矿木马的身价水涨船高,数量也急剧增加。一旦设备被入侵并被植入了挖矿木马,那便成了黑客的敛财工具。因此在短 短几年内就催生出一大批的挖矿木马家族,与之一起增加的还有对各个平台设备 的大量攻击。
个人电脑中挖矿病毒程序 一把梭直接定位到人,从零基础到精通,收藏这篇就够了!
wananxuexihu的博客
01-04 1055
朋友抱怨自己的服务器非常卡,因为存储了很多项目资料和集成了众多环境。作为好友,我自然义无反顾地帮他检查。原本以为仅需进行简单的杀毒和文件整理便足够,但最终这个过程花费了不少时间。正好借此机会记录下整个过程,并写成这篇文章。首先,确定问题的根源,确认系统中了木马。清除系统中的所有可疑进程、启动项、计划任务、后门以及异常账户。使用审计主机和Web日志,定位入侵的具体入口。通过反追踪技术获取到肉鸡权限,并发现外部连接的地址。尽力溯源,确定具体人员身份(虽然不一定能百分百确认)。
挖矿病毒排查演示
zhuge_long的专栏
09-20 1077
查看一下这两个目录,这是两个进程执行时候的信息,可以看到两个执行文件都已经被删掉了,所以我们无法在磁盘上用find命令找到他们,但是他们都在内存中执行。执行完上面两个步骤就可以了,我们还可以把这个定时任务里的可执行文件0g6evy下载到本地,并且上传到尾部沙箱检测一下。用netstat -anp命令查看一下网络连接,发现出现了很多主动向外部链接的请求,而且是上面看到的那个占用cpu比较高的奇怪的进程做的。可以使用crontab -l先查看一下定时任务,可以发现这个0g6evy的文件,所在目录一直在改变。
ubuntu清理挖矿病毒
My Struggle
02-16 2123
清理挖矿程序的基本步骤 先用top命令查看cpu占用率大的进程的PID,再用systemctl status cpu占用率大的进程的PID命令查看守护进程地址,以用rm命令删除挖矿程序。在用rm命令删除挖矿程序前,应该检查是否存在后门,以防止坏东西通过后门再次侵入。 所谓后门,我检查了路由条目和定时任务: 是否有多出来的定时任务(非自己加入的定时任务)? 是否有多出来的路由条目? 是否是应为集群中其他的服务器被感染,该服务器是被传染的?
记一次 Debian 被黑,清理记录,唉
边学边用
01-10 4216
清理被黑的 Debian Linux 中的非法文件
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值