/p
一、媒介
克日,天融信应急相应中心接到某企业客户反馈,企业数据管理体系感染了某种病毒,大量占用其CPU,严峻影响了一样平常工作推进。客户在发现环境后已将被感染的服务器举行断网,与网络中的其他呆板举行隔离。天融信应急工程师颠末开端沟通及排查后,判定此为经典挖矿类变乱,并敏捷睁开了专业的应急处理工作。
二、取证环境
三、溯源排查过程
1、查察服务器进程运行状态
查察服务器体系团体运行环境,发现名为kdevtmpfsi的挖矿进程大量占用体系CPU利用率。
2、查察端口及外联环境
查察端口开放状态及外联环境,发现主机存在陌生外联举动。
3、查察筹划任务
查察服务器定时任务,在定时任务中也发现存在哀求外部地点的恶意指令:
对该外部地点举行查询发现属于国外地点,进一步确定该进程为恶意挖矿进程:
4、定位挖矿进程及其保卫进程PID
挖矿病毒kdevtmpfsi在运行过程中不但会产生进程kdevtmpfsi,还存在保卫进程kinsing,该进程会不绝重启挖矿shell脚本,以是必须将主进程和保卫进程一起清除。因此必要对进程kinsing举行定位。
查察主进程kdevtmpfsi的PID:
利用systemctlstatus10393定位进程kinsing。
5、Redis服务排查
通过端口开放环境发现6379端口及22端口正常开放。
查察redis设置文件,发现未设置登岸暗码,恣意用户均可乐成毗连。
6、查察redis日记
通过查察redis设置文件/etc/redis.conf发现日记功能未开启。
7、查找敏感文件
发现authorized_keys文件。
8、查察ssh日记文件
查察ssh日记文件,发现大量登岸陈迹以及公钥上传陈迹。
四、应急处理过程
1、停止恶意进程
利用kill-9PID停止该挖矿进程运行,并对挖矿病毒运行产生的文件举行整理。
2、整理定时任务
打扫定时任务,整理服务器上的.ssh文件夹。给redis服务设置暗码并绑定IP限定本地访问,重启服务器见效。
3、为Redis添加暗码验证
修改/etc/redis.conf,设置redis暗码并绑定IP限定本地访问,重启服务器见效。
4、禁用ssh暗码登录
修改/etc/ssh/sshd_config,将PasswordAuthenticationno改为yes并去除解释。在服务器上针对ssh服务启用公钥登录,禁用暗码登录。
在整个处理过程中,天融信应急工程师通太过析发现:服务器上利用root权限以默认方式摆设Redis服务并对外映射,因此导致该服务器存在Redis未授权访问弊端。攻击者利用该弊端乐成毗连Redis服务并上传公钥至服务器,进而通过ssh免密登录并获取服务器完全控制权,从而摆设挖矿病毒,导致服务器病毒感染,CPU占用率连续升高。五、后续防范发起
1、在部分开展针对性的安全教诲,认真落实网络安全职责,严格按照总公司安全审计处要求为各类长途办公场合做安全防范摆设。
2、定期查抄各长途办公机构PC客户端安全软件安装环境及病毒库更新环境,确保每台主机安全防护是有效可用的。
3、要求各长途办公部分定期对PC举行杀毒。
我要评论