客户名称: | Linux应急响应 | 报告时间: | 2024年-07月-25日 |
|---|---|---|---|
报告类型: | 分析报告 |
分析报告
**攻击时段:**
2024年07月25日15时30分
**攻击影响:**
2024年07月25日15时30分,监控到某客户的IP地址为:192.168.239.130的机器异常启动
**分析过程:**
查看命令是否存在异常,然后发现存在.sh文件有异常
查看hide.sh文件的一些异常脚本文件,发现到有存在的异常守护进程路径
去检查动态库的劫持是否有异常,有异常先删除动态库的配置文件
发现ps文件存在异常假命令,去更换正常的真命令,并且查看命令是否存在异常
另外发现top文件也存在异常假命令,去更换正常的真命令,并且查看命令是否存在异常
使用top命令去查看恶意进程的CPU占用以及内存异常的进程。发现有占用CPU的恶意进程
暂停恶意进程的PID
拿到暂停的恶意进程的PID,使用lsof命令去找到恶意进程的路径,发现到恶意进程的文件路径
删除恶意进程的文件时发现没有权限去删除恶意文件,分别去查看恶意文件和目录的同时有权限需要去取消
给chattr命令进行一个权限提升,并且使用此命令去取消恶意文件的权限,会发现还是删除不了恶意文件,那么说明恶意文件的目录也存在一个权限
把恶意文件的目录去掉权限,进行删除恶意文件
恶意文件删除之后,去查看计划任务里面有没有任何异常,发现计划任务里面存在两个恶意守护进程的计划任务,并且去删除此计划任务时发现恶意计划任务存在权限,并不能进行删除
计划任务里面的恶意计划任务删除不了,那么必须先把root文件进行删除,发现root文件并不能删除,表示也有权限,用chattr命令进行去掉root文件的权限进行删除
虽然去掉了root文件,但是依然出现权限报错,很有可能是目录存在权限
用chattr命令去除掉恶意计划任务的文件的目录权限,并且去删除恶意计划任务的文件
依然出现权限报错,很有可能是目录存在权限,用chattr命令去除掉恶意计划任务的文件的目录权限,并且去删除恶意计划任务的文件
根据之前恶意脚本去查看恶意文件里面有一个守护进程的路径
编辑恶意文件会发现,并不能去修改恶意文件,去找到恶意文件的软链接路径,去除掉恶意文件的权限,使恶意文件能够正常修改
进入到恶意文件,编辑恶意文件去除掉守护进程的路径
过滤删除恶意进程的守护进程
查看开机启动项是否有异常
查看环境变量文件是否异常
最终停止恶意进程,防止恶意进程再次生成
溯源
查看登录日志,发现无记录,无法溯源
分析结论:
经过上述的分析,我们判定该服务器被挖掘恶意进程入侵,并且存在守护进程,会不断的产生恶意进程,并且导致CPU占用率飙高
加固建议:
1.更新补丁
2.实施强密码的策略,确保一些所有用户都要使用复杂且是唯一的密码
3.定期检查计划任务和配置计划任务
