2021年12月27日第一次处理
初步排查
收到CPU使用率100%的监控告警
登陆主机,发现一个陌生进程,进程名为SloH4auG,怀疑是木马。
ps -ef|grep SloH4auG 找到pid
cd /proc/7407/ && ll 查看进程的exec,当时没截图,发现执行程序的文件名是乱码,并且已经被删除。这种会清理痕迹的执行行为,基本可以确定该文件为木马。
紧急处理
确定服务器已经中毒,开始紧急处置,首先确定业务影响,确定可控之后使用防火墙封禁其网络出入口,特别是内网进出全部封禁,避免其继续污染内网其他主机。
因为这台主机没有主要业务,而且我准备抓到木马干了什么,所以就暂时保留公网进出口,因为很多木马发现自己无法与C&C服务器建立连接的话,会进行自杀并清理痕迹。
找木马样本
cd /var/spool/cron && ll,查看定时任务的修改时间,发现root用户的定时任务有修改。
cat root 发现一条定时任务
26 * * * * /root/.systemd-private-lYLmBkzzKln31w9xOAKuqXpObYJjY.sh > /dev/null 2>&1 &