其他
记一次挖矿木马清理
01
背景
某客户反映大数据平台不能访问,初步原因是由于环境变量被破坏,经过内部的简单讨论后,环境变量并非内部同事所为,由此判定可能是中病毒了。
02
发现病毒
到这里已经很明确了,服务器中了联机挖矿木马。
03
清理病毒
启动项1
启动项2
查看.bash_profile发现同样的命令,复制→运行→删除,不过这次的源文件和上面的不同(/bin/bprofr),记录这两个文件名,然后删除该条记录。
计划任务
全局搜索
清理病毒时,最好做若干次全局搜索,同名的全局搜索,和近似名称的全局搜索,尽可能保证所有病毒文件被查找出来。
时间搜索
通过对此次病毒事件的分析,该病毒的入侵时间基本可以确定,所以配合全局搜索后,还需要对敏感目录下病毒入侵时间的文件进行筛选,尽可能全面地找出所有病毒文件。
病毒清理
通过对此次病毒文件的清理来看,此处收回上面说的那句“有效驻留都是徒劳”话[手动哭笑],这病毒文件也太多了吧!!!而且很多名称都不一样,这样很有可能导致病毒文件查找不全,进而导致清理不彻底。
chattr -ai -V /bin/bprofrrm -rf /bin/bprofr
chattr -ai -V /bin/bproform -rf /bin/bprofo
chattr -ai -V /bin/sysdrrm -rf /bin/sysdr
chattr -ai -V /usr/bin/-bashrm -rf /usr/bin/-bash
rm -rf /run/systemd/generator.late/pwnrig.servicerm -rf /etc/systemd/system/multi-user.target.wants/pwnrige.servicerm -rf /etc/systemd/system/multi-user.target.wants/pwnrigl.service
rm -rf /run/systemd/generator.late/runlevel5.target.wants/pwnrig.servicerm -rf /run/systemd/generator.late/runlevel4.target.wants/pwnrig.servicerm -rf /run/systemd/generator.late/runlevel3.target.wants/pwnrig.servicerm -rf /run/systemd/generator.late/runlevel2.target.wants/pwnrig.service
chattr -ai -V /etc/cron.daily/pwnrigchattr -ai -V /etc/rc.d/init.d/pwnrigchattr -ai -V /etc/systemd/system/pwnrige.servicechattr -ai -V /etc/cron.hourly/pwnrigchattr -ai -V /etc/cron.d/pwnrigchattr -ai -V /etc/cron.monthly/pwnrigchattr -ai -V /etc/cron.weekly/pwnrigchattr -ai -V /usr/lib/systemd/system/pwnrigl.service
rm -rf /etc/cron.daily/pwnrigrm -rf /etc/rc.d/init.d/pwnrigrm -rf /etc/systemd/system/pwnrige.servicerm -rf /etc/cron.hourly/pwnrigrm -rf /etc/cron.d/pwnrigrm -rf /etc/cron.monthly/pwnrigrm -rf /etc/cron.weekly/pwnrigrm -rf /usr/lib/systemd/system/pwnrigl.service
rm -rf /etc/rc.d/rc0.d/K60pwnrigrm -rf /etc/rc.d/rc1.d/K60pwnrigrm -rf /etc/rc.d/rc2.d/S90pwnrigrm -rf /etc/rc.d/rc3.d/S90pwnrigrm -rf /etc/rc.d/rc4.d/S90pwnrigrm -rf /etc/rc.d/rc5.d/S90pwnrigrm -rf /etc/rc.d/rc6.d/K60pwnrig
/sys/fs/cgroup/devices/system.slice/pwnrige.service/sys/fs/cgroup/systemd/system.slice/pwnrig.service/sys/fs/cgroup/systemd/system.slice/pwnrige.service
/etc/systemd/system/multi-user.target.wants/pwnrige.service/etc/systemd/system/multi-user.target.wants/pwnrigl.service/etc/systemd/system/pwnrige.service/etc/rc.d/init.d/pwnrig/etc/cron.hourly/pwnrig/etc/cron.d/pwnrig/etc/cron.monthly/pwnrig/etc/cron.weekly/pwnrig/usr/lib/systemd/system/pwnrigl.service
/sys/fs/cgroup/devices/system.slice/pwnrige.service/sys/fs/cgroup/systemd/system.slice/pwnrige.service/etc/rc.d/rc0.d/K60pwnrig/etc/rc.d/rc1.d/K60pwnrig/etc/rc.d/rc2.d/S90pwnrig/etc/rc.d/rc3.d/S90pwnrig/etc/rc.d/rc4.d/S90pwnrig/etc/rc.d/rc5.d/S90pwnrig
/etc/systemd/system/pwnrige.service/usr/lib/systemd/system/pwnrigl.service知识点1
知识点2
a:让文件或目录仅供附加用途; b:不更新文件或目录的最后存取时间; c:将文件或目录压缩后存放; d:将文件或目录排除在倾倒操作之外; i:不得任意更动文件或目录; s:保密性删除文件或目录; S:即时更新文件或目录; u:预防意外删除。
lsattr命令用于显示文件属性,参数如下:
a:显示所有文件和目录,包括以"."为名称开头字符的额外内建,现行目录"."与上层目录".."; d:显示,目录名称,而非其内容; l:此参数目前没有任何作用; R:递归处理,将指定目录下的所有文件及子目录一并处理; v:显示文件或目录版本; V:显示版本信息。
往期精选
安帝科技亮相2021智慧水利与河湖长制高峰论坛,实力构筑水利行业安全立体防护网
安帝科技丨ANDISEC
北京安帝科技有限公司是新兴的工业网络安全能力供应商,专注于网络化、数字化、智能化背景下的工业网络安全技术、产品、服务的探索和实践,创新应用网络空间行为学及工业网络行为验证,构建了工业大数据深度分析、威胁情报共享、威胁感知和协同响应等核心能力优势,为电力、石油石化、煤炭、烟草、轨道交通、智能制造等关键信息基础设施行业提供安全产品、服务和综合解决方案,工业网络安全态势感知平台已部署3600余家电厂。
点击“在看”鼓励一下吧