banner
lca

lca

真正的不自由,是在自己的心中设下牢笼。
ホームアーカイブ图文

Linuxでの緊急対応の記録

#应急响应#linux224
AI 翻訳
この記事はAIを通じて中国語から日本語に翻訳されました。原文を表示
AI が生成した要約
0x01 事件描述: 某同事在某单位遇到一个linux主机运行不正常,疑似服务器被植入恶意代码,叫我这边看下,当时同事了解到,由于服务器业务出现问题,导致客户登陆服务器查看情况,对异常进程进行查杀之后,恢复正常,但之后该进程又会重新启动。要了服务器的登陆信息之后,开始进行排查。 0x02 漏洞排查: 1、用户根目录发现一个异常文件。 2、通过火绒进行查杀。 3、stat命令查看文件状态。 4、存在异常账户。 5、在home目录下也发现一个异常文件tufei34。 6、通过在线云沙箱(https://s.threatbook.cn)检测,发现为木马后门。 7、利用utmpdump对该二进制文件提取可读内容,发现对外连接了许多异常ip。 8、通过top命令对进程进行排查,发现异常进程rvnshcqhiq,进程id为13987,通过对进程id进行分析,发现其对外连接到ip183.ip-178-32-145.eu,这个域名也为一个异常域名。 9、lsof -p PID,查看进程的连接情况,该异常文件位于/usr/bin下。 10、将异常文件rvnshcqhiq下载下来,通过在线云沙箱(https://s.threatbook.cn)对这个木

0x01 イベントの説明#

ある同僚がある組織で Linux ホストが正常に動作していないという問題に遭遇しました。サーバーに悪意のあるコードが埋め込まれている可能性があり、私に調査を依頼しました。同僚は、サーバーの業務に問題が発生し、顧客がサーバーにログインして状況を確認した後、異常なプロセスを検出し、削除した後に正常に戻ったが、その後もそのプロセスが再起動することがわかりました。

サーバーのログイン情報を取得した後、調査を開始しました。

0x02 脆弱性の調査#

  1. ユーザーのホームディレクトリに異常なファイルが見つかりました。

image

  1. 火绒(ファイアウォールソフトウェア)を使用してスキャンしました。

image

  1. stat コマンドを使用してファイルの状態を確認しました。

image

  • Access: ファイルが最後にアクセスされた時間
  • Modify: ファイルの内容が最後に変更された時間
  • Change: ファイルの属性が最後に変更された時間
  1. 異常なアカウントが存在します。

1551858013114.jpg

  1. ホームディレクトリにも異常なファイル tufei34 が見つかりました。

image

  1. オンラインのサンドボックス(https://s.threatbook.cn)を使用して検出し、トロイの木馬であることが判明しました。

image

image

  1. utmpdump を使用してバイナリファイルから読み取れる内容を抽出し、多くの異常な IP への外部接続があることが判明しました。

image

火绒ウイルス対策ソフトウェアのスキャン結果。

![火绒杀毒][9]

  1. top コマンドを使用してプロセスを調査し、異常なプロセスrvnshcqhiqを発見しました。プロセス ID は 13987 で、プロセス ID を分析すると、外部に接続されている IP アドレスが ip183.ip-178-32-145.eu であり、これも異常なドメインです。

image

  1. lsof -p PID コマンドを使用してプロセスの接続状況を確認しました。この異常なファイルは /usr/bin にあります。

![lsof -p13987][11]

![異常なドメイン][12]

  1. 異常なファイルrvnshcqhiqをダウンロードし、オンラインのサンドボックス(https://s.threatbook.cn)を使用してこのトロイの木馬をさらに分析したところ、Xorddos トロイの木馬であることが判明しました。

![クラウド検出][13]

![クラウド検出][14]

  1. pstree を使用すると、異常なファイルのプロセスも表示されます。

![pstree][15]

  1. strings /usr/bin/rvnshcqhiqを使用してトロイの木馬ファイルを調査すると、このトロイの木馬ファイルがスケジュールタスクを起動し、3 分ごとに実行されることが判明しました。

![strings /usr/bin/rvnshcqhiq][16]

  1. タスクスケジュールファイルを確認しました。

![計画タスクファイル][17]

![計画タスク][18]

  1. 同様に、/usr/bin/ ディレクトリに他のトロイの木馬ファイルも見つかりました。

![他のトロイの木馬ファイル][19]

![悪意のあるファイルの起動時の自動起動][20]

  1. 自動起動ファイルls /etc/rc*を確認しました。

![ls /etc/rc*][21]

0x03 clamavを使用したスキャン#

clamav を使用したスキャンの結果、clamscan -r /usr/bin

![clamav1][22]

![clamav2][23]

![clamav3][24]

その中の 1 つの /usr/bin/.ssh ファイルを分析すると、多数の異常な IP が見つかりました。

strings /usr/bin/.sshd | egrep '[1-9]{1,3}\.[1-9]{1,3}\.'

![.ssh][25]

/etc/ ディレクトリのファイルを clamav でスキャンしました。

![clamav4][26]

Mysql もトロイの木馬ファイルでした。

![Mysql][27]

ログイン記録を分析すると、最初の 2 つの成功したログインの IP は 54.36.137.146 と 37.44.212.223 で、これらの IP はいずれも海外の IP です。

grep 'Accepted' /var/log/secure | awk '{pirnt $11}' | sort | uniq -c | sorn -nr

![ログイン記録の分析 1][28]

![ログイン記録の分析 2][29]

![ログイン記録の分析 3][30]

0x04 解決策#

  • サーバーの異常なファイルをクリーンアップし、トロイの木馬ファイルの権限を閉じ、起動時に自動的に実行されるトロイの木馬プログラムとシンボリックリンクを削除し、すべてのトロイの木馬の元のファイルを手動で削除し、悪意のあるファイルが生成したスケジュールタスクをクリアします。
  • clamav をインストールして感染ファイルをスキャンして削除します。
  • 条件が許すなら、サーバーを再デプロイすることをお勧めします。これにより、ウイルスによる残留の症状を防ぐことができます。
読み込み中...
文章は、創作者によって署名され、ブロックチェーンに安全に保存されています。