0x01 事件描述

某同事在某单位遇到一个linux主机运行不正常,疑似服务器被植入恶意代码,叫我这边看下,当时同事了解到,由于服务器业务出现问题,导致客户登陆服务器查看情况,对异常进程进行查杀之后,恢复正常,但之后该进程又会重新启动。

要了服务器的登陆信息之后,开始进行排查。

0x02 漏洞排查

1、用户根目录发现一个异常文件。

异常文件1

2、通过火绒进行查杀

火绒查杀

3、stat命令查看文件状态

stat

  • Access : 文件最近一次被访问的时间
  • Modify: 文件内容最近一次被修改的时间
  • Change: 文件属性最近一次被改变的时间

4、存在异常账户

异常账户

5、在home目录下也发现一个异常文件tufei34。

异常文件2

6、通过在线云沙箱(https://s.threatbook.cn)检测,发现为木马后门。

云检测

云检测

7、利用utmpdump对该二进制文件提取可读内容,发现对外连接了许多异常ip。

utmpdump tufei34

火绒杀毒软件扫描结果。

火绒杀毒

8、通过top命令对进程进行排查,发现异常进程rvnshcqhiq,进程id为13987,通过对进程id进行分析,发现其对外连接到ip183.ip-178-32-145.eu,这个域名也为一个异常域名。

top

9、lsof -p PID,查看进程的连接情况,该异常文件位于/usr/bin下

lsof -p13987

异常域名

10、将异常文件rvnshcqhiq下载下来,通过在线云沙箱(https://s.threatbook.cn)对这个木马进行进一步分析,发现其为Xorddos木马。

云检测

云检测

11、使用pstree也可以看到异常文件进程

pstree

12、利用strings /usr/bin/rvnshcqhiq对木马文件进行排查,发现该木马文件启动了计划任务,每三分钟执行一次。

strings /usr/bin/rvnshcqhiq

13、查看任务计划文件。

计划任务文件

计划任务

14、同时在/usr/bin/目录下也发现其他的木马文件。

其他木马文件

恶意文件开机自启动

15、查看自启动文件ls /etc/rc*

ls /etc/rc*

0x03 使用clamav进行查杀

使用clamav进行查杀的效果,clamscan -r /usr/bin

clamav1

clamav2

clamav3

对其中的一个/usr/bin/.ssh文件进行分析,发现大量异常ip。

strings /usr/bin/.sshd | egrep '[1-9]{1,3}\.[1-9]{1,3}\.'

.ssh

利用clamav扫描/etc/目录下的文件。

clamav4

Mysql也为木马文件。

Mysql

对登录记录进行分析,登录成功的ip前两个分别为54.36.137.146和37.44.212.223,这两个ip都为境外ip。

grep 'Accepted' /var/log/secure | awk '{pirnt $11}' | sort | uniq -c | sorn -nr

登录记录分析1

登录记录分析2

登录记录分析3

0x04 解决建议

  • 对服务器的异常文件进行清理,由于木马会自动生成,所以先把木马文件的权限关闭,然后删除开机自启动的木马程序和软链接,手动清除全部木马原始文件,同时,将恶意文件生成的计划任务清空。

  • 安装 clamav 扫描并删除感染文件。

  • 在条件允许的情况下,建议对服务器进行重新部署,防止出现病毒遗留的症状。