記一次應急響應2
事件描述:
本次安全事件,接報客戶內部一臺服務器,懷疑感染木馬病毒,一旦木馬發作,會導致服務器內存、CUP等資源耗盡,內部局域網帶寬被大量占用等情況。
根據經驗初步判斷為Ddos木馬之類的。
木馬特征:
(1)系統不定時向外發送請求,帶寬被占滿;
(2)系統進程異常;
可以通過top命令可以看到一個或多個10位字符的十位隨機名稱進程占用CPU使用率很高,但通過ps 無法查找到木馬進程,且在kill結束該進程後,系統又會創建新的十位隨機名稱進程。
(3)存在定時任務文件/etc/cron.hourly/gcc.sh。
木馬清除:
1.結束木馬進程
yum -y install psmisc
pstree -p|egrep ‘[a-z]{10}‘
killall qymhnvmfkt
2.清理定時任務和木馬程序
sed -i ‘/gcc.sh/d‘ /etc/crontab # 刪除木馬的定時任務
rm -rf /etc/cron.hourly/gcc.sh # 刪除定時任務執行腳本
rm -rf /lib/libudev.so # 刪除木馬真實程序
3.清理木馬服務開機自啟
進入/etc/init.d目錄下,找到最近修改的10位字符文件,進行刪除
4.清理木馬殘留文件
進入/usr/bin目錄下,找到最近修改的10位字符文件,進行刪除
完成以上步驟後,再次運行pstree檢查進程樹,如還存在進程異常,重復1-4步驟,無異常重啟機器進行確認。
加固建議
1.
定期使用rootkit檢查工具rkhunter,檢查系統安全狀態
yum -y install epel-release
yum -y install rkhunter
rkhunter --check --sk # 掃描系統rookit
例如:
通過rkhunter發現系統rookit和可執行文件被替換
2.定期使用clamav進行系統關鍵位置病毒掃描查殺
yum -y install epel-release
yum -y install clamav
clamscan -r /usr/*bin /bin /tmp /lib /etc|grep FOUND # 掃描指定目錄
例如:
通過clamscan掃描系統,發現xor.ddos木馬
記一次應急響應2