记一次对某学校挖矿木马的应急响应

本来今天高高兴兴,期待着明天的疯狂星期四,但客户那边突然有一台主机需要应急,那就上去看一眼。

1、事件背景

这次设备上有报警,发现是挖矿木马,并且也捕捉到了外联 IOC,那这问题就不大了,直接上机开搞!

恶意 IOC:217.160.36.159

2、上机处置

首先对这台主机的外联情况查看一下,使用netstat -ano看一下外联

发现了恶意 IOC,并且本地端口也知道了,本来想直接通过端口定位的,但发现搞不出来,最后再次查看外联,发现外联端口变了,那就有点头疼了。

此时也只能瞎猫碰死耗子,从进程中也发现不了什么(都是挖矿马了,还不搞点高占用?),但是在计划任务那里找到了一点东西。

计划任务有两种,一个是系统计划任务,还有一个是用户计划任务,此时我们就在用户计划任务中找到了攻击者写入的内容

cd /var/spool/cron/crontabs


他指定了一个很怪的路径,于是我们之间访问

cd /usr/games/.mozilla/.mozilla

直接ls -al查看一下

其实这里看见这几个文件,基本就可以确定是木马了,但是为了严谨,咱们把他拿出来,跑个沙箱

OK,杀了

posted @   CN-SEC中文网  阅读(8)  评论(0编辑  收藏  举报
相关博文:
阅读排行:
· 微软正式发布.NET 10 Preview 1:开启下一代开发框架新篇章
· 没有源码,如何修改代码逻辑?
· NetPad:一个.NET开源、跨平台的C#编辑器
· PowerShell开发游戏 · 打蜜蜂
· 凌晨三点救火实录:Java内存泄漏的七个神坑,你至少踩过三个!
点击右上角即可分享
微信分享提示