0x01 事件描述#
某同事在某单位遇到一个 linux 主机运行不正常,疑似服务器被植入恶意代码,叫我这边看下,当时同事了解到,由于服务器业务出现问题,导致客户登陆服务器查看情况,对异常进程进行查杀之后,恢复正常,但之后该进程又会重新启动。
要了服务器的登陆信息之后,开始进行排查。
0x02 漏洞排查#
1、用户根目录发现一个异常文件。
2、通过火绒进行查杀
3、stat 命令查看文件状态
- Access : 文件最近一次被访问的时间
- Modify: 文件内容最近一次被修改的时间
- Change: 文件属性最近一次被改变的时间
4、存在异常账户
5、在 home 目录下也发现一个异常文件 tufei34。
6、通过在线云沙箱 (https://s.threatbook.cn) 检测,发现为木马后门。
7、利用 utmpdump 对该二进制文件提取可读内容,发现对外连接了许多异常 ip。
火绒杀毒软件扫描结果。
8、通过 top 命令对进程进行排查,发现异常进程rvnshcqhiq,进程 id 为 13987,通过对进程 id 进行分析,发现其对外连接到 ip183.ip-178-32-145.eu,这个域名也为一个异常域名。
9、lsof -p PID,查看进程的连接情况,该异常文件位于 /usr/bin 下
10、将异常文件rvnshcqhiq下载下来,通过在线云沙箱 (https://s.threatbook.cn) 对这个木马进行进一步分析,发现其为 Xorddos 木马。
11、使用 pstree 也可以看到异常文件进程
12、利用strings /usr/bin/rvnshcqhiq对木马文件进行排查,发现该木马文件启动了计划任务,每三分钟执行一次。
13、查看任务计划文件。
14、同时在 /usr/bin/ 目录下也发现其他的木马文件。
15、查看自启动文件ls /etc/rc*
0x03 使用clamav进行查杀#
使用 clamav 进行查杀的效果,clamscan -r /usr/bin
对其中的一个 /usr/bin/.ssh 文件进行分析,发现大量异常 ip。
strings /usr/bin/.sshd | egrep '[1-9]{1,3}\.[1-9]{1,3}\.'
利用 clamav 扫描 /etc/ 目录下的文件。
Mysql 也为木马文件。
对登录记录进行分析,登录成功的 ip 前两个分别为 54.36.137.146 和 37.44.212.223,这两个 ip 都为境外 ip。
grep 'Accepted' /var/log/secure | awk '{pirnt $11}' | sort | uniq -c | sorn -nr
0x04 解决建议#
- 对服务器的异常文件进行清理,由于木马会自动生成,所以先把木马文件的权限关闭,然后删除开机自启动的木马程序和软链接,手动清除全部木马原始文件,同时,将恶意文件生成的计划任务清空。
- 安装 clamav 扫描并删除感染文件。
- 在条件允许的情况下,建议对服务器进行重新部署,防止出现病毒遗留的症状。