本站以分享各种运维经验和运维所需要的技能为主
《python零基础入门》:python零基础入门学习
《python运维脚本》: python运维脚本实践
《shell》:shell学习
《terraform》持续更新中:terraform_Aws学习零基础入门到最佳实战
《k8》暂未更新
《docker学习》暂未更新
《ceph学习》ceph日常问题解决分享
《日志收集》ELK+各种中间件
《运维日常》运维日常
《linux》运维面试100问
【安全】linux系统中木马的排查过程
1.背景
公司发现有云机器恶意请求域名
2.排查过程
寻找中招机器
-首先使用网络工具排查这个域名的访问过程,是从哪里发出的
tcpdump | grep shenhaozhe.com
找到目标机器之后进行排查
排查中招机器
-排查自启目录
tree /etc/rc*
可以看到几个以往没有的文件:
├── rc1.d
│ ├── K01jenkins -> ../init.d/jenkins
│ ├── K50netconsole -> ../init.d/netconsole
│ ├── K90network -> ../init.d/network
│ ├── S97VsystemsshMdt -> /etc/init.d/VsystemsshMdt # 这个没有
│ └── S99selinux -> /etc/init.d/selinux #这个没有
S97VsystemsshMdt、/etc/init.d/VsystemsshMdt、S99selinux -> /etc/init.d/selinux
发现这么多文件之后不放心,可能还有很多文件感染的可能
-使用clamscan对linux系统盘全盘扫描
yum -y install install clamav*
sudo freshclam
clamscan -ri / -l o
大概扫出了以下文件:
/root/ps: Legacy.Trojan.Agent-1388639 FOUND
/root/netstat: Legacy.Trojan.Agent-1388639 FOUND
/usr/bin/lsof: Legacy.Trojan.Agent-1388639 FOUND
/usr/bin/pythno: Legacy.Trojan.Agent-1388639 FOUND
/usr/bin/bsd-port/knerl: Legacy.Trojan.Agent-1388639 FOUND
/bin/ps: Legacy.Trojan.Agent-1388639 FOUND
/bin/netstat: Legacy.Trojan.Agent-1388639 FOUND
可以把bsd-port整个目录删除了。
从这里可以发现很多系统命令都被恶意窜改,需要从其他同版本系统上cp过去恢复。
总结
将上述的文件都清除之后,恶意请求就停止了,这里可以看出网络安全还是要重视。
开发不要轻易拉取一些非官方的库,可能会把木马也拉取到机器了。