码迷,mamicode.com
首页 > 其他好文 > 详细

记一次应急响应2

时间:2018-07-21 17:18:49      阅读:145      评论:0      收藏:0      [点我收藏+]

标签:发送请求   机器   分享   rm -rf   cpu   png   top命令   --   木马程序   

事件描述:

本次安全事件,接报客户内部一台服务器,怀疑感染木马病毒,一旦木马发作,会导致服务器内存、CUP等资源耗尽,内部局域网带宽被大量占用等情况。

根据经验初步判断为Ddos木马之类的。

木马特征:

(1)系统不定时向外发送请求,带宽被占满;
(2)系统进程异常;
可以通过top命令可以看到一个或多个10位字符的十位随机名称进程占用CPU使用率很高,但通过ps 无法查找到木马进程,且在kill结束该进程后,系统又会创建新的十位随机名称进程。

技术分享图片

技术分享图片

(3)存在定时任务文件/etc/cron.hourly/gcc.sh。

技术分享图片

技术分享图片

 

木马清除:

1.结束木马进程
yum -y install psmisc
pstree -p|egrep ‘[a-z]{10}‘
killall qymhnvmfkt

 技术分享图片

2.清理定时任务和木马程序

sed -i ‘/gcc.sh/d‘ /etc/crontab # 删除木马的定时任务
rm -rf /etc/cron.hourly/gcc.sh # 删除定时任务执行脚本
rm -rf /lib/libudev.so # 删除木马真实程序

 

技术分享图片

3.清理木马服务开机自启

进入/etc/init.d目录下,找到最近修改的10位字符文件,进行删除

技术分享图片

 

4.清理木马残留文件

进入/usr/bin目录下,找到最近修改的10位字符文件,进行删除

 技术分享图片

完成以上步骤后,再次运行pstree检查进程树,如还存在进程异常,重复1-4步骤,无异常重启机器进行确认。

 

加固建议

1.

定期使用rootkit检查工具rkhunter,检查系统安全状态
yum -y install epel-release
yum -y install rkhunter
rkhunter --check --sk # 扫描系统rookit
例如:
通过rkhunter发现系统rookit和可执行文件被替换

技术分享图片

 

 2.定期使用clamav进行系统关键位置病毒扫描查杀

yum -y install epel-release
yum -y install clamav
clamscan -r /usr/*bin /bin /tmp /lib /etc|grep FOUND # 扫描指定目录
例如:
通过clamscan扫描系统,发现xor.ddos木马

技术分享图片

 

记一次应急响应2

标签:发送请求   机器   分享   rm -rf   cpu   png   top命令   --   木马程序   

原文地址:https://www.cnblogs.com/whoami101/p/9346545.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!