处理多台服务器均被xmrig挖矿病毒入侵(二)
前言
继上篇文章清理病毒后,第二天病毒仍会持续运行,并且发现如果删除/etc/passwd中的xdp用户后,/root/.viminfo会自动创建出来xdp,如果删除.vimfo,还是会被自动创建
处理步骤
使用审计服务排查
auditctl -w /root/ -p wa -k root-dir-create-w /root/: 这个选项指定要监控的文件或目录路径,这里是/root/,即根用户的主目录。-p wa: 这个选项指定了要监控的操作权限标志位。wa表示监控write(写) 和attribute change(属性更改) 操作。在 auditctl 中,w通常代表所有类型的写操作,包括修改文件内容;而a通常表示访问模式、所有权、链接数以及其他元数据属性的更改。-k root-dir-create: 这个选项用来设置一个关键字(key)或者标签,用于在日志中标识这条规则,便于后期审计日志分析时快速查找相关事件。root-dir-create可以理解为对这条规则的描述或注释,表明这条规则关注的是根目录下的创建活动。
综上所述,这条命令的作用是设置一个审计规则,用于监控 /root/ 目录下发生的任何写操作以及文件或目录属性的更改,并将这些事件标记为“root-dir-create”,以便在审计日志中追踪涉及根目录的所有创建或属性更改行为。
查到以下内容
----
time->Wed Mar 13 11:38:05 2024
type=PROCTITLE msg=audit(1710329885.308:164): proctitle=6370002F7573722F62696E2F73797374656D2F636F6E6669672E6A736F6E002F726F6F742F2E753163544D47643077492F
type=PATH msg=audit(1710329885.308:164): item=1 name="/root/.u1cTMGd0wI/config.json" inode=26345519 dev=fd:00 mode=0100755 ouid=0 ogid=0 rdev=00:00 nametype=CREATE cap_fp=0 cap_fi=0 cap_fe=0 cap_fver=0 cap_frootid=0
type=PATH msg=audit(1710329885.308:164): item=0 name="/root/.u1cTMGd0wI/" inode=26345518 dev=fd:00 mode=040755 ouid=0 ogid=0 rdev=00:00 nametype=PARENT cap_fp=0 cap_fi=0 cap_fe=0 cap_fver=0 cap_frootid=0
type=CWD msg=audit(1710329885.308:164): cwd="/"
type=SYSCALL msg=audit(1710329885.308:164): arch=c000003e syscall=257 success=yes exit=4 a0=ffffff9c a1=5574f326a2d0 a2=c1 a3=1ff items=2 ppid=1616635 pid=2225435 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="cp" exe="/usr/bin/cp" subj=unconfined key="root-dir-create"
----
time->Wed Mar 13 11:38:05 2024
type=PROCTITLE msg=audit(1710329885.324:165): proctitle=6C6E002D73002F726F6F742F2E753163544D47643077492F786D726967002F726F6F742F2E753163544D47643077492F3873465A4B686D496A36
type=PATH msg=audit(1710329885.324:165): item=2 name="/root/.u1cTMGd0wI/8sFZKhmIj6" inode=26345520 dev=fd:00 mode=0120777 ouid=0 ogid=0 rdev=00:00 nametype=CREATE cap_fp=0 cap_fi=0 cap_fe=0 cap_fver=0 cap_frootid=0
type=PATH msg=audit(1710329885.324:165): item=1 name="/root/.u1cTMGd0wI/xmrig" nametype=UNKNOWN cap_fp=0 cap_fi=0 cap_fe=0 cap_fver=0 cap_frootid=0
type=PATH msg=audit(1710329885.324:165): item=0 name="/root/.u1cTMGd0wI/" inode=26345518 dev=fd:00 mode=040755 ouid=0 ogid=0 rdev=00:00 nametype=PARENT cap_fp=0 cap_fi=0 cap_fe=0 cap_fver=0 cap_frootid=0
type=CWD msg=audit(1710329885.324:165): cwd="/"
type=SYSCALL msg=audit(1710329885.324:165): arch=c000003e syscall=266 success=yes exit=0 a0=7fff07defedd a1=ffffff9c a2=7fff07defef5 a3=559135798340 items=3 ppid=1616635 pid=2225440 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm="ln" exe="/usr/bin/ln" subj=unconfined key="root-dir-create"root@ss:~# lsof -p 1616635
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
system 1616635 root cwd DIR 253,0 4096 2 /
system 1616635 root rtd DIR 253,0 4096 2 /
system 1616635 root txt REG 253,0 1396520 16384501 /usr/bin/bash
system 1616635 root mem REG 253,0 27002 16393656 /usr/lib/x86_64-linux-gnu/gconv/gconv-modules.cache
system 1616635 root mem REG 253,0 3048928 16398150 /usr/lib/locale/locale-archive
system 1616635 root mem REG 253,0 2220400 16387080 /usr/lib/x86_64-linux-gnu/libc.so.6
system 1616635 root mem REG 253,0 200136 16395316 /usr/lib/x86_64-linux-gnu/libtinfo.so.6.3
system 1616635 root mem REG 253,0 240936 16387064 /usr/lib/x86_64-linux-gnu/ld-linux-x86-64.so.2
system 1616635 root 0r CHR 1,3 0t0 5 /dev/null
system 1616635 root 1u unix 0xffff8e296a73dd80 0t0 8372765 type=STREAM
system 1616635 root 2u unix 0xffff8e296a73dd80 0t0 8372765 type=STREAM
system 1616635 root 255r REG 253,0 2433 16777903 /usr/bin/system/system (deleted)
root@ss:~#
下面这个文件不是正常的系统文件
问题一.root目录下那些乱码文件夹的生成都是xmrig的隐藏目录,查到他原程序在哪,把那些原程序删除之后,他就没法再生成新的程序了
问题二.另一个问题是自动创建xdp用户,是另一个程序去创建的,当时是审计的/etc/passwd这个文件,审计是谁谁动这个文件,后来查到是service附属的一个服务动的,然后就直接去查service。
auto_script.service是提权的服务,对应的执行文件是/usr/bin/sshd, 对比了下正常的电脑,是不存在这个文件的,这个是伪装的文件
审计/root/查PID只能查到这个复制的源文件,system.service是病毒执行文件,负责复制并生成病毒
阅读剩余
本站代码模板仅供学习交流使用请勿商业运营,严禁从事违法,侵权等任何非法活动,否则后果自负!
THE END
