应急响应案例：木马清理

一、案例背景

某用户页面打开缓慢，监控发现服务器CPU负载高。

服务器负载

二、问题说明

登录服务器核实为木马导致CPU过高。

top视图

三、原因分析

1、云镜分析

1）、云镜在线状态

2）、存在木马文件

主机安全 - 木马记录

3)、存在暴力破解记录

主机安全 - 暴力破解

2、安全组分析

1）、centos 系统，公有镜像。

2）、没有配置安全组

服务器安全组

简单分析，由于没有配置安全组，导致出现木马入侵。

四、解决办法

1、准备工作

1）、对服务器进行快照备份。

2）、上传busybox到服务器

2、木马清理

1）、存在挖矿木马

Top视图

2）、检测计划任务 crontab

a)、crontab 无木马痕迹

crontab

b)、无其它crontab任务，切换目录到/var/spool/cron/

crontab文件

3)、存在动态链接库

加载项

    **ld.so.preload中加载了木马文件**

a)、删除 /etc/ld.so.prereload中内容

b)、删除 /usr/local/lib/libprocesshider.so

4）、核实/etc在3天内更新的文件

文件记录

无明显异常

5)、核实启动项

a）、/etc/init.d

木马

bt程序

BT代码

此次应该是BT程序，用户安装的。

b）、查看/etc/systemd/system/multi-user.target.wants

木马监控

pwnriglhttps.service 存在异常，该木马在6月2日就已经存在了。

pwnriglhttps

经核实，该服务就是 挖矿 木马的监控脚本。清理方法如下：

启动项

6)、免密登录 -- 不存在免密登录

免密

7)、其它

a)、/etc/hosts 无异常

b)、/etc/profile 无异常

c)、/etc/profile.d/中脚本 无异常

d)、/root/ .bashrc 和 /etc/bashrc 无异常

3、溯源分析

由于云镜存在暴力破解记录，所以是用户的密码过于简单所致。

主机安全 - 木马记录

入侵者的IP为： 112.30.128.37

微步在线

该IP在5月22号被入侵成为了肉鸡。所以源入侵IP，也是受害者。

五、加固建议

1、服务器设置大写、小写、特殊字符、数字组成的12-16位的复杂密码 ，也可使用密码生成器自动生成复杂密码，这里给您一个链接参考：https://suijimimashengcheng.51240.com/

2、删除服务器上设置的不需要的用户

3、对于不需要登录的用户，请将用户的权限设置为禁止登录

4、修改远程登录服务的默认端口号以及禁止超级管理员用户登陆

Windows远程端口修改参考文档：https://cloud.tencent.com/developer/article/1052163

Linux远程端口修改参考文档：https://cloud.tencent.com/developer/article/1124500

5、较为安全的方法：只使用密钥登录禁止密码登陆 （针对Linux系统）

6、腾讯云平台有安全组功能，里面您只需要放行业务协议和端口，不建议放行所有协议所有端口，参考文档： https://cloud.tencent.com/document/product/215/20398

7、如果您的本地外网IP固定，建议使用安全组或者系统防火墙禁止除了本地外网IP之外所有IP的登录请求

六、扩展说明

1、BusyBox

BusyBox 是一个集成了三百多个最常用Linux命令和工具的软件。BusyBox 包含了一些简单的工具，例如ls、cat和echo等等，还包含了一些更大、更复杂的工具，例grep、find、mount以及telnet。有些人将 BusyBox 称为 Linux 工具里的瑞士军刀。简单的说BusyBox就好像是个大工具箱，它集成压缩了 Linux 的许多工具和命令，也包含了 Android 系统的自带的shell。

百科地址：https://baike.baidu.com/item/busybox/427860?fr=aladdin

2、微步在线

“微步在线” ，定位以安全威胁情报 (Threat Intelligence) 服务为中心的安全公司。

https://x.threatbook.cn/