內網有挖礦病毒,我先和各位說一下表現特征,麻煩各位大神訪問分析一下
1.會不斷的暴力破解內網其他22號 埠root用戶密碼,一直嘗試登陸
2.行程名字是無規則的字母比如ualDvKdU
3.部分機器上可以發現計劃任務里的腳本,腳本通過base64加密,還用chattr加鎖檔案,腳本會存在于/root/.xxx.sh 和/opt/xxx.sh
4.一般病毒有兩個無規則的行程,名字都沒有規律。其中一個占用CPU 100% 另外一個不占用資源
5.大部分機器通過lsof 命令分析行程基本找不到被呼叫的檔案
6.病毒行程會在/tmp/.X11-unix/目錄下生產名字為11 01 22之類的檔案,里面寫入的是行程的PID
我的應對措施
PermitRootLogin no
systemctl stop crond && crontab -e
chmod 000 /usr/local/bin/curl && chattr +i /usr/local/bin/curl
chmod 000 /usr/bin/curl && chattr +i /usr/bin/curl
cd /tmp/.X11-unix && rm -rf 00 11 22
chmod 400 /tmp/.X11-unix && chattr +i /tmp/.X11-unix
mv /usr/bin/chattr /usr/bin/bak.chattr
/usr/bin/tracepath /usr/sbin/tracepath
chattr -i /root/.systemd-service.sh && echo >/root/.systemd-service.sh && chmod 000 /root/.systemd-service.sh && chattr +i /root/.systemd-service.sh && chattr -i /opt/systemd-service.sh && echo >/opt/systemd-service.sh && chmod 000 /opt/systemd-service.sh && chattr +i /opt/systemd-service.sh && kill -9 `cat /tmp/.X11-unix/11` && kill -9 `cat /tmp/.X11-unix/01`
rm -rf /tmp/.X11-unix/01 /tmp/.X11-unix/11 /tmp/.X11-unix/22 && chmod 000 /tmp/.X11-unix && chattr +i /tmp/.X11-unix
我通過上述命令和更改ssh埠號基本已經控制了病毒,行程不再啟動,
兩個月后病毒又發現在內網當中,病毒的腳本名發生了變法,其他的套路基本一樣
這次我用lsof命令發現部分機器上的病毒和postgres資料庫有關,請各位分析一下為什么和資料庫有關,是資料庫存在安全漏洞嗎
以下是兩臺被感染機器的截圖


挖礦行程都有一個外網ip pg1:54206->136.243.90.99:webcache (ESTABLISHED)

轉載請註明出處,本文鏈接:https://www.uj5u.com/qukuanlian/181304.html
標籤:區塊鏈技術
