应急响应案例:kdevtmpfsi挖矿木马
原创
一、案例背景
某用户CPU负载100%,但并看不到具体哪个进程导致的。
二、安全分析
1、隐藏进程
经过busybox核实到存在隐藏进程,百度核实为挖矿病毒
2、crontab 存在异常任务
下载链接已经失效,IP为海外。
3、进程文件并不存在
明显该木马在运行成功后,会自动清理运行文件。
4、文件dump出来核实是否为木马
Virustotal 中核实文件是否异常。https://www.virustotal.com/gui/
5、/etc/ld.so.preload存在加载 /etc/ Iibsystem.so
6、监控项核实
System监控中bot为近期配置的。
通过配置可以发现是 kinsing的监控。
停止:systemctl disable bot
Kinsing不可以用通配符查到。这个和system.so有关。
得到自己的登录的sshd,分析发现登录后就已经加载了libsystem.so
所以在登录后,所有的操作都是libsystem.so让你看到的。
7、其它核实
1)、/etc/rc.d/rc.local
2)、/etc/rc.d/rc3.d/
3)、/root/.bashrc
4)、/etc/profile
5)、/etc/profile.d/
…
并没有发现其它异常点。
三、system.so核实
1、进程端口隐藏
Libsystem中存在隐藏函数。
端口和进程都存在隐藏。
2、进程删除
四、清理方法
1、清理
#清理 crontab >/var/spool/cron/root # 清理 /etc/hosts sed -i -e "s/172.17.32.9 gmcq.361yx.cn//g" /etc/hosts #解除加载异常动态库 > /etc/ld.so.preload #删除异常动态库 rm -fr /etc/libsystem.so #清除木马病毒 rm -fr /etc/kinsing && touch /etc/kinsing && chattr +ia /etc/kinsing rm -fr /tmp/kdevtmpfsi && touch /tmp/kdevtmpfsi && chattr +ia /tmp/kdevtmpfsi #删除服务项目并中止进程 systemctl disable bot.service systemctl stop bot.service #再次清理 ps aux |grep kinsing|awk '{print $2}'|xargs kill -9 ps aux |grep kdevtmpfsi |awk '{print $2}'|xargs kill -9
#清理完成后,建议立即重启。
2、验证
重新登录,核实已经没有加载libsystem.so了。
五、溯源分析
通过分析web日志,存在Webshell请求。
六、加固建议
1、WEB域名加入WAF防护
2、安全组仅放通80端口,并禁止其它端口对外
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
腾讯云开发者
