记一次应急响应2

事件描述：

本次安全事件，接报客户内部一台服务器，怀疑感染木马病毒，一旦木马发作，会导致服务器内存、CUP等资源耗尽，内部局域网带宽被大量占用等情况。

根据经验初步判断为Ddos木马之类的。

木马特征：

（1）系统不定时向外发送请求，带宽被占满；
（2）系统进程异常；
可以通过top命令可以看到一个或多个10位字符的十位随机名称进程占用CPU使用率很高，但通过ps 无法查找到木马进程，且在kill结束该进程后，系统又会创建新的十位随机名称进程。

（3）存在定时任务文件/etc/cron.hourly/gcc.sh。

 

木马清除：

1.结束木马进程
yum -y install psmisc
pstree -p|egrep '[a-z]{10}'
killall qymhnvmfkt

 

2.清理定时任务和木马程序

sed -i '/gcc.sh/d' /etc/crontab # 删除木马的定时任务
rm -rf /etc/cron.hourly/gcc.sh # 删除定时任务执行脚本
rm -rf /lib/libudev.so # 删除木马真实程序

 

3.清理木马服务开机自启

进入/etc/init.d目录下，找到最近修改的10位字符文件,进行删除

 

4.清理木马残留文件

进入/usr/bin目录下，找到最近修改的10位字符文件,进行删除

 

完成以上步骤后，再次运行pstree检查进程树，如还存在进程异常，重复1-4步骤，无异常重启机器进行确认。

 

加固建议

1.

定期使用rootkit检查工具rkhunter，检查系统安全状态
yum -y install epel-release
yum -y install rkhunter
rkhunter --check --sk # 扫描系统rookit
例如：
通过rkhunter发现系统rookit和可执行文件被替换

 

 2.定期使用clamav进行系统关键位置病毒扫描查杀

yum -y install epel-release
yum -y install clamav
clamscan -r /usr/*bin /bin /tmp /lib /etc|grep FOUND # 扫描指定目录
例如：
通过clamscan扫描系统，发现xor.ddos木马