没有开场白,直接步入正题
某日,客户A部门反应,B部门在爆破他们的服务器,同时B部门反应A部门在爆破B部门服务器,于是乎工程师进行现场查看排查;
下图为A部门服务器当时的资源情况截图
跟进该进程,查看一下它的进程列表
然后就被我给kill掉了这个进程,并且在tmp目录下发现了相关的文件;但是问题当然是没解决,因为此次事件的流量出口很大,甚至对网关造成了影响,流量都阻塞了,并且根据当时的反应,此次事件是具备SSH爆破行为的,下图为当时的服务器上的tmp目录,发现的恶意脚本文件
他们具体有哪些作用,我们稍后分析;
而后去了客户B的部门,并且听到了服务器要起飞的声音,我毫不怀疑是不是风扇装服务器外卖它会飞起来。
然后查看了一下计划任务,在计划任务里看到了恶意样本的一些运行情况,好家伙,22分钟跑一次,并且在根路径下看到了对应的隐藏文件
查看样本信息,发现是base64编码格式
解码后,发现也是乱七八糟的东西,但是可以简单的看懂一些逻辑
可以看见,首先是看了一下用户id并且看了一下etc/passwd文件而后裁剪了一部分做了个切片处理,而后轮询DNS地址,探测出网情况,并访问多个tor地址并下载了什么东西,将下载的文件进行了chmod操作,还开启了socks5的9050端口,似乎在传输或者是接收什么东西(看样子似乎是把用户的信息包括id、ip信息、计划任务等传上去了),而后将东西传进/tmp/.X11-unix等目录下
刚刚我们提到了.sshx文件,该文件内容如下
其实这里面的文件,ip文件是该服务器爆破的ip记录,pw文件内容是口令密码;r0-r8是一些其他服务的用户名,功能应该是不仅仅是爆破ssh,可能还会对mysql、sqlserver等服务进行爆破,ss/ssh文件装的其实就是几个用户名,图忘记截了
当然了不能忘记去查看常规的计划任务文件
该目录下内容如下,该脚本为57分钟运行一次
最后要做的,是按照该类似规则进行全盘查找
最后做的当然是把他们都删掉了,凡是我看到chmod 777 的基本都被我删了,而后服务器重启数次,并运行了一个礼拜左右,发现问题没有再次出现,问题解决。
总结其实就是,服务器出现挖矿事件的时候,不仅仅需要清除病毒本体,同时需要进行计划任务的查看,重点关注tmp目录与etc目录下的各个计划任务文件,基本可以解决问题
912
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
