@[Linux开采病毒紧急响应流程]
1 .接到事件反馈客户反馈,企业服务器感染了某个病毒,大量占用了其CPU,严重影响了日常工作的推进。 客户发现情况后,断开受感染的服务并将其与网络中的其他机器隔离。
2 .取证情况IPOS类型持续时间x.x.x.xUbuntu16.04一天3 .跟踪调查进程3.1验证服务器进程执行情况运行top命令后,一个名为kdevtmpfsi的开采进程会占用大量系统CPU资源
3.2查看端口和外部链路情况netstat -antp发现,当查看端口开放状态和外部链路情况时,主机存在陌生的外部链路行为。
3.3查看计划任务查看服务器计划任务,还发现计划任务中存在请求外部地址的恶意指令:
查询此外部地址以发现其属于国外地址,并进一步验证此过程是恶意开采过程
3.4采掘流程及其守护进程PID采掘病毒kdevtmpfsi不仅在运行过程中生成流程kdevtmpfsi,而且存在守护进程,由于该流程继续重新启动采掘外壳脚本,必须将主流程和守护进程一起消灭
运行PS-ef查看kdevtmpfsi主进程的PID
使用systemctl status 10393定位至流程kinsing。
在3.5 Redis服务器故障诊断中,端口开放情况表明6379端口和22端口已成功开放。
查看redis配置文件时,您发现没有设置登录密码,任何用户都可以成功连接。
3.6查看redis日志在redis配置文件/etc/redis.conf中发现未打开日志功能
3.7搜索敏感文件以找到authorized_keys文件
3.8查看ssh日志文件查看ssh日志文件,发现大量登录痕迹和公钥上传痕迹。
4.1应急处理流程4.1停止恶意程序使用kill -9停止运行此开采程序,清理运行开采病毒产生的文件。
4.2定时任务清理定时任务,清理服务器上的. ssh文件夹,在redis服务中设置密码,绑定IP以限制本地访问,然后重新启动服务器以启用。
4.3在redis中添加密码验证修复/etc/redis.conf,设置redis密码,绑定IP以限制本地访问,然后重新启动并启用服务器。
4.4更改ssh密码登录/etc/ssh/sshd_config禁用,并将PasswordAuthentication no更改为yes并删除注释。 在服务器上启用ssh服务的公钥登录并禁用密码登录。
分析表明,由于服务器使用root权限默认部署并映射到外部,存在Redis非法访问漏洞。 攻击者利用该漏洞成功连接Redis服务,将公钥上传到服务器,再通过ssh密集登录,获取服务器的完全控制权,从而引入开采病毒,引发服务器病毒感染,导致CPU使用率持续上升
转载于3https://MP.weixin.QQ.com/s/jynmqtanrmin5ugpgvgqzg