Part0,概述

通过对进程、登录日志和历史命令分析，确认溯源一起入侵事件，对入侵者的恶意进程成功查杀，发现入侵者的ftp服务器，上面好多提权工具，朋友们拿去分（wan）析（shua）吧！

Part1，事件应急

10月21日，国家某局的网络出现拥塞现象，10月23日上午10点到客户现场排查问题，通过流量检测设备发现某刚装完系统的主机数据量异常，该主机仅仅装了suselinux，并未部署应用，看来极有可能被黑之后当肉鸡用了。

管理员告知鉴别信息为root/111111，直连服务器后用ssh远程登录了该服务器，查看登录信息。由于服务器未部署应用，就重装系统了，但是如果真的部署有应用，需要能查杀恶意进程才可以，所以就有了PART2。

（1）cat /var/log/messeges|grep root

10月21日凌晨12：35，黑客开始对root账号口令进行猜解并猜解成功，之后跟网络管理员确认，该主机对外开放了所有端口，orz。

(2)查看账户登录记录 last

黑客于10月21日凌晨4:52从远程登录服务器，并操作服务器长达约3个小时，那么黑客到底做了什么？

（3）history | grep ‘2015-10-21’

黑客从远程下载执行木马125，在安全脉搏的群里想分享该文件被qq检测出来是病毒；执行node程序和x程序。

 

（4）netstat  -antup

①服务器中仅存在的x对应的进程18465/scanssh，扫描内网SSH弱口令（图4.1），无node对应的进程。

②在虚拟中运行该程序，会有对应进程node（图4.2），估计是该程序被关闭了，但未在history中找到。

③16950/netsn对外网地址36.251.136.189（泉州）发送SYN_SEND数据包(我觉得应该是扫描外网用的程序或者是后门)，之后在mnt目录下找到该进程对应文件，确认为恶意文件。

图4.1

图4.2

（5） ls –la /mnt

从服务器中找到黑客操作的两个文件node和x，以及进程netsn对应的netsn文件。

（6）cat /mnt/n/trueusers.txt

该文件内容为黑客已扫描到内网的弱口令账户。

（7）黑客的远程木马文件服务器，传送门，上面应该是各种提权工具和扫描工具。传送门，http://120.41.33.189:8886  一台 HFS

Part2:虚拟环境查杀恶意进程。

（1）执行125并观察网络行为

unzip 125.zip

chmod +x 125

./125

在执行125文件之前开启tcpdump，发现本地和120.41.33.189交互了大量的数据包，由于tcpdump命令不是很熟，就开启Wireshark捕获数据包，设定主机地址为120.41.33.189。

执行后出现无法访问“/etc/init.d/.zl”:没有那个文件或目录（图1.1），哦，这样等下的木马进程应该就跟这个.zl有某种联系了。

再看wireshark,已经开始有数据交互中…（图1.2）

图1.1

图1.2

（2）杀死125生成的进程

• kill 12831

查看系统中有关zl的进程，并杀死（图2.1），但是发现进程马上就又起来了，这样的话应该是有守护进程，

图2.1

• ps auxf  | sort –k9

以进程启动时间排序查看进程，从进程启动的时间上判断，进程12763和13665应该互为守护进程，使用kill命令同时杀死13665和16969（之前杀死12763后重新分配的进程号）两个进程，进程被彻底杀死（图2.3），且wireshark不能再捕获到交互数据包，kali系统不再和120.41.33.189交互（图2.4）。

图2.2

 

图2.3

图2.4

Part3:总结

初入安全圈，第一次写总结性的文档，期待鲜花也不惧拍砖，真心希望能和圈内的朋友沟通交流，共同进步。[email protected]

 

安全脉搏编辑点评：

从行文记录来看 是篇比较细致的前期应急文章 有在虚拟环境进行恶意行为复测  缺少一个事件总结和事后处理

现在来看 外部黑客团队都有自动化工具爆破ssh弱口令自动种马扫内网操作扩大战果,ssh最好使用key登录。本文中的骇客团队对日志清理太疏忽。

感谢作者“好天气”原创投稿，也欢迎加入务实的安全圈。后续安全脉搏将会带来更多的Linux系统被入侵后的应急响应流程文章，敬请关注。