freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

点我创作

试试在FreeBuf发布您的第一篇文章 让安全圈留下您的足迹
我知道了

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

一次大意的木马清除
yumusb 2021-05-26 19:51:59 153112

起因

我有一个朋友。。。
image.png
image.png

过程

按照这个密码,我觉得90%的可能是被爆破了。随即登录进行排查。

1. 登录行为定位
通过history发现在扫描全网3389:
image.png
看到此处使用yum安装了masscan,果断查看yum日志。
image.png
发现了时间点,通过此时间点对登录者进行定位。
image.png
118.70.52.167 越南 河内 河内市

2. 可疑进程
发现一进程大量占用CPU,对该进程文件进行定位。然后通过kill -9 杀掉进程,文件进行改名移动。
此处我大意了。忘记截图了,只有当时交流的截图。
image.png
果然一会,又新起来了一个新的进程。
image.png
image.png
在查看进程env时候发现了端倪。
image.png
同样的,该文件删除后也会立刻恢复。
image.png

3. 定时任务
刚开始朋友说使用crontab -l查过了计划任务,但是又无法解释删除后又出现。便查看/etc/crontab文件
image.png
gcc.sh 内容如下:
image.png
同时也在/etc/cron.hourly/发现了可能是运行产生的临时文件(名字也是随机的10位字符串)
image.png

4. 清理
注释掉/etc/crontab中的恶意内容,将libudev.so、/usr/bin/hujqsw进行改名移动。又发现/etc/init.d情况如下:
image.png
使用grep -E 进行定位:
image.png
发现有一个正常的netconsole也被定位到了。可以先将其改名再恢复或者直接grep -v。
然后使用xargs进行传参给rm
image.png

5. ioc 溯源
118.70.52.167 越南 河内 河内市
41c85522f8a2a2a1235523cb3a1a24b8 libudev.so
ca1fa3bbed65438116ad707900c63ecf hujqsw
样本已上传微步、VT。搜索即可查看分析结果。对应标签为:DoS、Xorddos

结束

总的来说,此次处理过程只能说是比较大意。有看到ps -aux结果中恶意进程pid对应的名字为gnome-terminal,但是没有截图留存。也完美体现了/etc/crontab文件与crontab -l命令返回的差异性。

# 木马后门 # 应急响应 # XorDDos
本文为 yumusb 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
yumusb LV.3
catch me at [http://33.al]
  • 5 文章数
  • 15 关注者
CobaltStrike-DNS隧道设计缺陷
2021-07-06
shiro反序列化回显工具中的流量特征
2021-06-16
CobaltStrike4.3更新功能理解
2021-04-29
文章目录