记一次应急响应2

事件描述:

本次安全事件,接报客户内部一台服务器,怀疑感染木马病毒,一旦木马发作,会导致服务器内存、CUP等资源耗尽,内部局域网带宽被大量占用等情况。

根据经验初步判断为Ddos木马之类的。

木马特征:

(1)系统不定时向外发送请求,带宽被占满;
(2)系统进程异常;
可以通过top命令可以看到一个或多个10位字符的十位随机名称进程占用CPU使用率很高,但通过ps 无法查找到木马进程,且在kill结束该进程后,系统又会创建新的十位随机名称进程。

(3)存在定时任务文件/etc/cron.hourly/gcc.sh。

 

木马清除:

1.结束木马进程
yum -y install psmisc
pstree -p|egrep '[a-z]{10}'
killall qymhnvmfkt

 

2.清理定时任务和木马程序

sed -i '/gcc.sh/d' /etc/crontab # 删除木马的定时任务
rm -rf /etc/cron.hourly/gcc.sh # 删除定时任务执行脚本
rm -rf /lib/libudev.so # 删除木马真实程序

 

3.清理木马服务开机自启

进入/etc/init.d目录下,找到最近修改的10位字符文件,进行删除

 

4.清理木马残留文件

进入/usr/bin目录下,找到最近修改的10位字符文件,进行删除

 

完成以上步骤后,再次运行pstree检查进程树,如还存在进程异常,重复1-4步骤,无异常重启机器进行确认。

 

加固建议

1.

定期使用rootkit检查工具rkhunter,检查系统安全状态
yum -y install epel-release
yum -y install rkhunter
rkhunter --check --sk # 扫描系统rookit
例如:
通过rkhunter发现系统rookit和可执行文件被替换

 

 2.定期使用clamav进行系统关键位置病毒扫描查杀

yum -y install epel-release
yum -y install clamav
clamscan -r /usr/*bin /bin /tmp /lib /etc|grep FOUND # 扫描指定目录
例如:
通过clamscan扫描系统,发现xor.ddos木马

 

posted @ 2018-07-21 14:10  轻落语  阅读(396)  评论(0编辑  收藏  举报