應急響應思路分享

0x00 前言

本次文章只用于技術討論，學習，切勿用于非法用途，用于非法用途與本人無關！

環境均為實驗環境分析，且在本機進行學習。作者：zr0iy

最近正在學習應急響應，本著學習的態度來跟大家分享一波，比較簡單，輕噴。

0x01 背景描述

主機192.168.2.158主機連接挖礦域名，且出現主機卡頓和CPU占用高等現象，并且主機未安裝任何防護設備和殺軟。

0x02 排查過程

通過top命令查看CPU占用，發現CPU占用率較高的進程名為“work32”，PID為2411。

通過PID獲得對應進程目錄和進程。

定位進程目錄為/usr/.work，目錄主要包含以下內容：

通過沙箱分析文件work32和xmr，發現惡意url：xmr.crypto-pool.frh和IP：163.172.226.137；URL的域名為礦池地址，確定為挖礦病毒。

通過“auth.sh”和“secure.sh”文件所在路徑，可以找到進程對應的文件。

通過分析“auth.sh”和“secure.sh”文件，發現代碼均為封禁暴力破解IP。

通過分析“config.json”文件，發現其中包含惡意URL：xmr.crypto-pool.fr

排查計劃任務過程中發現進程“work32”的計劃任務。

排查ssh公鑰，發現可疑公鑰。

通過/etc/rc.local排查主機啟動項，發現存在挖礦程序開機自啟，并在后臺運行。

通過/etc/sudoers查看擁有sudo權限的用戶，發現隱藏用戶%wheel

通過查看病毒文件的創建時間，判斷主機感染病毒的時間為11月1日。

通過查看主機日志，發現在感染時間對主機進行ssh爆破登錄失敗的賬號均為root,ip為10.110.8.1和10.110.8.2。

登錄成功的IP為10.110.8.1和10.110.8.3。

查看定時任務日志，“work32”定時任務日志最早的出現的時間是在2021年11月1日 08:00:01。

0x03 病毒處置

清除ssh公鑰。

中止惡意進程。

刪除病毒文件目錄。

刪除開機啟動項/etc/rc.local中病毒進程，刪除前進行備份。

刪除計劃任務。

重啟服務器。

挖礦程序已被清除。

0x04 總結

綜上所述，IP“10.110.8.1”于“2021-11-01 03：59：17”通過sshd暴力破解root用戶弱口令，在“03：59：21”成功拿到root賬號并先后以“10.110.8.1”，“10.110.8.3”成功登錄，通過ssh遠程連接將work32文件上傳并進行執行操作，并以rsa算法生成ssh加密連接通道，以及創建計劃任務的啟動項；因為啟動work32挖礦程序造成服務器CPU使用率過高異常或者卡頓現象