石犀客户环境遭病毒攻击排查解决记录.md

石犀客户环境遭病毒攻击排查解决记录

现象

检测到机器频繁访问外网 10w 次

image-20231215152706997

问题排查

top ps 排查

一般进程会排到比较前,如果没排查到,也有可能是 top 程序被黑客替换,新装一个系统资源检测工具试试。

这一步可以查到异常进程 pid 和进程启动用户

image-20231215153729017

ps -efl | grep $pid 显示是 kworker

查看用户登录历史和进程环境变量

last 查看用户登录历史

image-20231215160118595

cat /proc/$pid/environ
1
2
root@sr:/home/sr# cat /proc/479850/environ
SHELL=/bin/bashHISTSIZE=0PWD=/mnt/.xLOGNAME=rootXDG_SESSION_TYPE=ttyMOTD_SHOWN=pamHOME=/rootLANG=en_US.UTF-8HISTFILE=/dev/nullLS_COLORS=rs=0:di=01;34:ln=01;36:mh=00:pi=40;33:so=01;35:do=01;35:bd=40;33;01:cd=40;33;01:or=40;31;01:mi=00:su=37;41:sg=30;43:ca=30;41:tw=30;42:ow=34;42:st=37;44:ex=01;32:*.tar=01;31:*.tgz=01;31:*.arc=01;31:*.arj=01;31:*.taz=01;31:*.lha=01;31:*.lz4=01;31:*.lzh=01;31:*.lzma=01;31:*.tlz=01;31:*.txz=01;31:*.tzo=01;31:*.t7z=01;31:*.zip=01;31:*.z=01;31:*.dz=01;31:*.gz=01;31:*.lrz=01;31:*.lz=01;31:*.lzo=01;31:*.xz=01;31:*.zst=01;31:*.tzst=01;31:*.bz2=01;31:*.bz=01;31:*.tbz=01;31:*.tbz2=01;31:*.tz=01;31:*.deb=01;31:*.rpm=01;31:*.jar=01;31:*.war=01;31:*.ear=01;31:*.sar=01;31:*.rar=01;31:*.alz=01;31:*.ace=01;31:*.zoo=01;31:*.cpio=01;31:*.7z=01;31:*.rz=01;31:*.cab=01;31:*.wim=01;31:*.swm=01;31:*.dwm=01;31:*.esd=01;31:*.jpg=01;35:*.jpeg=01;35:*.mjpg=01;35:*.mjpeg=01;35:*.gif=01;35:*.bmp=01;35:*.pbm=01;35:*.pgm=01;35:*.ppm=01;35:*.tga=01;35:*.xbm=01;35:*.xpm=01;35:*.tif=01;35:*.tiff=01;35:*.png=01;35:*.svg=01;35:*.svgz=01;35:*.mng=01;35:*.pcx=01;35:*.mov=01;35:*.mpg=01;35:*.mpeg=01;35:*.m2v=01;35:*.mkv=01;35:*.webm=01;35:*.ogm=01;35:*.mp4=01;35:*.m4v=01;35:*.mp4v=01;35:*.vob=01;35:*.qt=01;35:*.nuv=01;35:*.wmv=01;35:*.asf=01;35:*.rm=01;35:*.rmvb=01;35:*.flc=01;35:*.avi=01;35:*.fli=01;35:*.flv=01;35:*.gl=01;35:*.dl=01;35:*.xcf=01;35:*.xwd=01;35:*.yuv=01;35:*.cgm=01;35:*.emf=01;35:*.ogv=01;35:*.ogx=01;35:*.aac=00;36:*.au=00;36:*.flac=00;36:*.m4a=00;36:*.mid=00;36:*.midi=00;36:*.mka=00;36:*.mp3=00;36:*.mpc=00;36:*.ogg=00;36:*.ra=00;36:*.wav=00;36:*.oga=00;36:*.opus=00;36:*.spx=00;36:*.xspf=00;36:SSH_CONNECTION=10.110.13.44 46598 192.168.241.150 22LESSCLOSE=/usr/bin/lesspipe %s %sXDG_SESSION_CLASS=userTERM=xtermLESSOPEN=| /usr/bin/lesspipe %sUSER=rootSHLVL=1XDG_SESSION_ID=114015LC_CTYPE=en_US.UTF-8XDG_RUNTIME_DIR=/run/user/0SSH_CLIENT=10.110.13.44 46598 22XDG_DATA_DIRS=/usr/local/share:/usr/share:/var/lib/snapd/desktopPATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/usr/local/games:/snap/binHISTFILESIZE=0DBUS_SESSION_BUS_ADDRESS=unix:path=/run/user/0/busSSH_TTY=/dev/pts/0OLDPWD=/mnt/.x_=./

清理病毒程序

杀死进程和可执行文件

kill $pid

rm /mnt/.x

查杀系统定时任务

vim /etc/crontab

后续

持续监控被攻击机器,避免未杀干净

资料

经客户确认 last 返回结果中 10.110.13.44 为内网一台被黑客攻陷的机器。推测是通过此机器暴力破解两台 sc se 机器 root 帐号密码。

总结

漏洞和防护

  1. 机器网络访问安全策略没做,应该对机器做源IP访问白名单和目的IP访问白名单
  2. (客户那边应该做网络隔离)
  3. root 权限不应该允许直接登录
  4. 不管是什么环境,应该将密码设置为高安全级别,防暴力破解
#问题排查
石犀客户环境遭病毒攻击排查解决记录.md
https://abrance.github.io/2023/12/15/mdstorage/project/sr/石犀客户环境遭病毒攻击排查解决记录/
Author
xiaoy
Posted on
December 15, 2023
Licensed under