本来今天高高兴兴,期待着明天的疯狂星期四,但客户那边突然有一台主机需要应急,那就上去看一眼。
1、事件背景
这次设备上有报警,发现是挖矿木马,并且也捕捉到了外联 IOC,那这问题就不大了,直接上机开搞!
恶意 IOC:217.160.36.159
2、上机处置
首先对这台主机的外联情况查看一下,使用netstat -ano看一下外联
发现了恶意 IOC,并且本地端口也知道了,本来想直接通过端口定位的,但发现搞不出来,最后再次查看外联,发现外联端口变了,那就有点头疼了。
此时也只能瞎猫碰死耗子,从进程中也发现不了什么(都是挖矿马了,还不搞点高占用?),但是在计划任务那里找到了一点东西。
计划任务有两种,一个是系统计划任务,还有一个是用户计划任务,此时我们就在用户计划任务中找到了攻击者写入的内容
cd /var/spool/cron/crontabs
他指定了一个很怪的路径,于是我们之间访问
cd /usr/games/.mozilla/.mozilla
直接ls -al查看一下
其实这里看见这几个文件,基本就可以确定是木马了,但是为了严谨,咱们把他拿出来,跑个沙箱
OK,杀了
