记一次应急响应2

最新推荐文章于 2024-06-28 14:00:54 发布
最新推荐文章于 2024-06-28 14:00:54 发布
阅读量121 收藏
点赞数
文章标签: 运维 系统安全
原文链接:http://www.cnblogs.com/whoami101/p/9346545.html
版权

事件描述:

本次安全事件,接报客户内部一台服务器,怀疑感染木马病毒,一旦木马发作,会导致服务器内存、CUP等资源耗尽,内部局域网带宽被大量占用等情况。

根据经验初步判断为Ddos木马之类的。

木马特征:

(1)系统不定时向外发送请求,带宽被占满;
(2)系统进程异常;
可以通过top命令可以看到一个或多个10位字符的十位随机名称进程占用CPU使用率很高,但通过ps 无法查找到木马进程,且在kill结束该进程后,系统又会创建新的十位随机名称进程。

(3)存在定时任务文件/etc/cron.hourly/gcc.sh。

 

木马清除:

1.结束木马进程
yum -y install psmisc
pstree -p|egrep '[a-z]{10}'
killall qymhnvmfkt

 

2.清理定时任务和木马程序

sed -i '/gcc.sh/d' /etc/crontab # 删除木马的定时任务
rm -rf /etc/cron.hourly/gcc.sh # 删除定时任务执行脚本
rm -rf /lib/libudev.so # 删除木马真实程序

 

3.清理木马服务开机自启

进入/etc/init.d目录下,找到最近修改的10位字符文件,进行删除

 

4.清理木马残留文件

进入/usr/bin目录下,找到最近修改的10位字符文件,进行删除

 

完成以上步骤后,再次运行pstree检查进程树,如还存在进程异常,重复1-4步骤,无异常重启机器进行确认。

 

加固建议

1.

定期使用rootkit检查工具rkhunter,检查系统安全状态
yum -y install epel-release
yum -y install rkhunter
rkhunter --check --sk # 扫描系统rookit
例如:
通过rkhunter发现系统rookit和可执行文件被替换

 

 2.定期使用clamav进行系统关键位置病毒扫描查杀

yum -y install epel-release
yum -y install clamav
clamscan -r /usr/*bin /bin /tmp /lib /etc|grep FOUND # 扫描指定目录
例如:
通过clamscan扫描系统,发现xor.ddos木马

 

转载于:https://www.cnblogs.com/whoami101/p/9346545.html

weixin_33915554
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux主机hang住echo 0 > /proc/sys/kernel/hung_task_timeout_secs disables this message
weixin_33991727的博客
03-29 6334
问题原因: 默认情况下, Linux会最多使用40%的可用内存作为文件系统缓存。当超过这个阈值后,文件系统会把将缓存中的内存全部写入磁盘, 导致后续的IO请求都是同步的。 将缓存写入磁盘时,有一个默认120秒的超时时间。 出现上面的问题的原因是IO子系统的处理速度不够快,不能在120秒将缓存中的数据全部写入磁盘。IO系统响应缓慢,导致越来越多的请求堆积,最终系统内存全部被占用,导致系统失去响...
实战渗透浅谈-一次应急渗透测试
qq_29437513的博客
12-24 3825
实战渗透浅谈-一次应急渗透测试
服务器怎么显示计算机内存不足,我的服务器总是提示虚拟内存不够,请问该怎么处理 爱问知识人...
weixin_31845113的博客
07-31 408
1、感染病毒有些病毒发作时会占用大量内存空间,导致系统出现内存不足的问题。赶快去杀毒,升级病毒库,然后把防毒措施做好!2、虚拟内存设置不当最好设置大一点啊,一般来说最小768mb,最大1024mb,如果你要玩游戏并且还有很多硬盘空间的话,设置最小1g,最大1。5g也行设置方法:默认状态下,是让系统管理虚拟内存的,但是系统默认设置的管理方式通常比较保守,在自动调节时会造成页面文件不连续,而降低读写效...
应急响应-PDCERF 方法03
战神/calmness的博客
02-09 6223
PDCERF方法最早于1987年提出,该方法将应急响应流程分成准备阶段、检测阶段、抑制阶段、根除阶段、恢复阶段、总结阶段。根据应急响应总体策略为每个阶段定义适当的目的,明确响应顺序和过程。但是,PDCERF方法不是安全事件应急响应的唯一方法。在实际应急响应过程中,不一定严格存在这6个阶段,也不一定严格按照这6个阶段的顺序进行。但它是目前适用性较强的应急响应通用方法。 准备 —— 检测 —— 抑制 —— 根除 —— 恢复 —— 总结 1)准备阶段 准备阶段以预防为主。主要工作涉及识别机构、企业的风险..
应急响应的基本概念与基础操作
好好睡觉
03-30 4401
应急响应基础概念、linux下应急响应的一搬流程、md5查杀webshell
网络安全应急响应流程图
dexi1113的博客
06-13 801
已被入侵的系统产生的任何结果都是不可靠的。一般来说,要成功地恢复被破坏的系统,需要维护干净的备份系统,编制并维护系统恢复的操作手册,而且在系统重装后需要对系统进行全面的安全加固。基于现实困境,在充分运用既有研究、建设成果的基础上,应当进一步实现信息汇聚、信息分析、联合研判、辅助决策、应急指挥、应急演练、预案管理等核心处置流程,确保一旦发生重大信息安全事件,能够迅速研判,形成预案,迅速指挥调度相关部门执行应急预案,做好应对措施,避免给国家和社会造成重大影响和损失,防止威胁国家安全的情况发生。
一次linux服务器入侵应急响应(小结)
09-14
主要介绍了一次linux服务器入侵应急响应,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
128-一次内网失陷的应急响应.pdf
09-20
128-一次内网失陷的应急响应.pdf
[酒仙桥六号部队] - 2020-12-15 一次内网失陷的应急响应.pdf
04-08
[酒仙桥六号部队] - 2020-12-15 一次内网失陷的应急响应
01应急响应相关概述与流程
WX公众号-小白学安全
01-21 3260
基本概念 网络安全应急响应 指在突发重大网络安全事件后对包括计算机运行在内的业务运行进行维持或恢复的各种技术和管理策略与规程 事件分类 恶意程序事件 计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件、其他有害程序事件 网络攻击事件 拒绝服务器攻击、后门攻击、漏洞攻击、网络扫描窃听、网络钓鱼、干扰事件、其他网络攻击事件 信息破坏事件 信息篡改、信息假冒、信息泄露、信息窃取、信息丢失、其他信息破坏事件 信息内容安全事件 违反宪法和法律、行政法规的
应急响应基础知识
m0_69801663的博客
11-06 158
网络安全应急响应基础知识
【网络安全系列】浅谈应急响应
读万卷书,行万里路。
03-03 2496
文章目录1 Why?2 What?3 How? 应急响应包含组织为了应对突发/重大信息安全事件的发生所做的准备,以及在事件发生后所采取的措施。,是信息安全从业者的常见工作之一。应急响应并非仅仅是在系统被黑之后做一系列的补救措施,而是需要在平时就进行被黑的准备和避免被黑。 各大厂商通常的做法就是成立应急响应中心 SRC(Security Response Center),来尽量避免被黑。 1 Why? 问1:为什么需要应急响应流程? 需要了解为什么需要应急响应,那就需要从应急响应的目的入手:尽可能保证网站系
应急响应
diaoqin7781的博客
05-30 1671
什么是应急响应PDCERF模型 P (Preparation准备) D (Detection诊断) C (Containment抑制) E (Eradication根除) R (Recovery恢复) F (follow-up跟踪) 其实就是为了快速定位问题点,快速解决问题原因 应急工具: ls, ifconfig , ps ,...
应急响应流程
wj193165zl的博客
08-11 6191
应急响应PDCERF模型: P(PreParation准备) D(Detection诊断) C(Containment抑制) E(Eradication根除) R(Recovery恢复) F(follow-up跟踪) 在发现服务器入侵的时候,我们需要使用以上的流程进行排查: PreParation准备:如果系统被入侵了,一般不建议采用系统自带的应用工具(ls,ifconfig,ps,...
应急响应模型
王教主的博客
06-08 550
应急响应阶段 预备->识别->遏制->消除->恢复->反思 各阶段内容 预备:监控、加固、制定流程、检验 识别:识别攻击者操作、识别恶意主机流量、识别业务变化…… 遏制:短平快控制风险,准备长期响应:封禁 消除:删除恶意软件、重置系统、重置服务 恢复:IR提供指导,各团队配合恢复 反思:什么事?做得好的?做的不够好?下一次做什么? ...
一次应急响应到溯源入侵者
qq_50854662的博客
10-06 536
文本转载于:https://www.freebuf.com/articles/web/289450.html 1. 前言今年的某月某日,系统监测到客户的一企业官网www.******.com遭到了网页篡改,经过人工确认将浏览器的UA替换为百度UA后访问网站,此时网站链接自动跳转至赌博类违规网站,当日上午随即受到客户的召唤,立刻赶往客户单位进行初步检查,并将相关日志文件及样本拷回做进一步分析。2. 事件分析因去到现场时index.php文件已经被网站管理员恢复了,但问题不大,还好这哥们留了个心眼备份
nginx优势以及应用场景,编译安装和nginx
最新发布
weixin_52142961的博客
06-28 813
高性能、轻量级Web服务软件系统资源消耗低对HTTP并发连接的处理能力高单台物理服务器可支持个并发请求Nginx(发音同 “engine x”)是一个高性能的反向代理和Web服务器软件,由俄罗斯人Igor Sysoev开发。第一个版本发布于2004年,源代码基于双条款BSD许可证发布。Nginx在互联网企业中因其资源消耗低、运行稳定且高性能的并发处理能力而广泛应用。Nginx是互联网上最受欢迎的开源Web服务器之一,不仅提供了一整套开发和交付的应用技术,还是应用交付领域的开源领导者。
由监官要求下架docker hub镜像导致无法正常拉取镜像
爱辉弟的博客
06-27 229
由监官要求下架docker hub镜像导致无法正常拉取镜像。非常遗憾,接上级通知,即时起我们将中止对dockerhub仓库的镜像。 docker相关工具默认会自动处理失效镜像的回退,如果对官方源有访问困 难问题,建议尝试使用其他仍在服务的镜像源。
Linux 应急响应入门——入侵排查.doc
01-20
值得注意的是,入侵排查不仅仅是一次性的工作,而是一个持续的过程。因此,我们需要建立健全的应急响应机制,包括定期检查用户账号安全、建立安全审计机制、加强对系统日志的监控等。只有通过持续不断的努力,我们...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值