深信服安全團隊 原文地址:http://33h。co/9qmkq
留存備用
Linux環境下處理應急響應事件往往會更加的棘手,因為相比於Windows,Linux沒有像Autorun、procexp這樣的應急響應利器,也沒有統一的應急響應處理流程。所以,這篇文章將會對Linux環境下的應急響應流程進行講解,並且提供每一個環節中所用到的shell命令,以幫助大家快速、系統化地處理Linux環境下的病毒。
處理Linux應急響應主要分為這4個環節:
識別現象->清除病毒->閉環兜底->系統加固
首先從使用者場景的主機異常現象出發,先識別出病毒的可疑現象。
然後定位到具體的病毒程序以及病毒檔案,進行清除。
完成前2步還不夠,病毒一般會透過一些自啟動項及守護程式進行重複感染,所以我們要執行閉環兜底確保病毒不再被建立。
將主機上的病毒項清除乾淨後,最後就是進行系統加固了,防止病毒從Web再次入侵進來。
走完這4個環節,才能算是一個應急響應流程的結束。
01
識別現象
第1個環節要求我們透過系統執行狀態、安全裝置告警,發現主機異常現象,以及確認病毒的可疑行為。
系統CPU是否異常
列舉程序,CPU降序排序:top
CPU佔用率超過70%且名字比較可疑的程序,大機率就是挖礦病毒了。
是否存在可疑程序
列舉程序命令列:ps -aux
病毒一般都攜帶可疑的命令列,當你發現命令列中帶有url等奇怪的字串時,就要注意了,它很可能是個病毒downloader。
安全閘道器有無報警
從安全閘道器報警中識別出威脅是最直接,但確認主機已經感染了病毒只是第一步,接下來得定位,具體是哪個程序在與C&C通訊。
監控與目標IP通訊的程序:
有時安全閘道器檢測到的不全是惡意IP,還有可能是個域名,這種情況下,域名對應的IP是變化的,我們不能直接用上述方法進行監控。
我們可以先在host檔案中新增一條規則,將惡意域名重定向到一個隨機的IP地址,然後對其進行監控。
這樣就能得到與之通訊的惡意程序了。
有無可疑歷史命令
遍歷主機歷史命令,查詢有無惡意命令:history
02
清除病毒
從第1個環節追溯到的程序資訊,將會幫助我們定位到病毒程序&病毒檔案,實現清除。
結束病毒程序
清除可疑程序的程序鏈:
刪除病毒檔案
定位病毒程序對應的檔案路徑:
03
閉環兜底
檢查是否存在可疑定時任務
列舉定時任務:
檢視anacron非同步定時任務:
檢查是否存在可疑服務
列舉主機所有服務,檢視是否有惡意服務:
檢查
系統檔案是否被劫持
列舉系統資料夾的檔案,按修改事件排序檢視7天內被修改過的檔案:
檢查是否存在病毒守護程序
監控守護程序的行為:
掃描是否存在惡意驅動
列舉/掃描系統驅動:lsmod
安裝chkrootkit 進行掃描:
安裝rkhunter 進行掃描:
04
系統加固
最後一個環節往往是大家比較容易遺忘的,Linux平臺下90%的病毒是透過網路傳播感染的,所以,你的主機之所以會感染病毒,大部分原因也是因為Web安全防護不夠,趕緊檢查一下。
修改SSH弱密碼
查詢log主機登陸日誌:
定位有爆破的源IP:
爆破日誌的使用者名稱密碼:
SSH爆破是Linux病毒最常用的傳播手段,若存在弱密碼的主機很容易被其他感染主機SSH爆破成功,從而再次感染病毒。
新增命令審計
為歷史的命令增加登入的IP地址、執行命令時間等資訊:
[1] 儲存1萬條命令:
[2] 在/etc/profile的檔案尾部新增如下行數配置資訊:
[3] 讓配置生效:
生成效果:
打上常見Web漏洞補丁
structs2系列RCE漏洞
thinkphp5。X RCE漏洞
Redis未授權訪問漏洞
Confluence RCE漏洞(CVE_2019_3396)
Drupal RCE漏洞(CVE-2018-7600)
ThinkPHP RCE漏洞(CVE-2019-9082)
結尾
Linux平臺下的惡意軟體威脅以殭屍網路蠕蟲和挖礦病毒為主,由於Linux大多作為伺服器暴露在公網,且Web應用的漏洞層出不窮,所以很容易被大範圍入侵,如常見的病毒:DDG、systemdMiner、BillGates、watchdogs、XorDDos,在很多Linux上都有。大家要養成不使用弱密碼、勤打補丁的好習慣。
END