2024-10-22
近期部分服务器感染木马的清理指南
近期根据网络安全监测及部分用户反映,经现场勘察和样本分析后,确认部分校园网内服务器感染了”挖矿”木马。该木马主要通过弱口令进行传播,不仅可以进行非法“挖矿”活动,还能够进行网络攻击和数据窃取。为保护个人数据及研究数据安全,我们强烈建议各位服务器管理员对系统进行全面排查。
一、排查是否感染木马
1. 检查系统是否存在木马样本
检查/etc/ld.so.preload(该文件默认为空)。Linux的/etc/ld.so.preload配置,可以自定义程序运行前优先加载的动态链接库。部分木马病毒通过修改该文件,添加恶意文件,从而实现挖矿进程的隐藏等恶意功能。
清除异常的动态链接库。可以执行命令进行清除。
# mv /etc/ld.so.preload /etc/ld.so.preload.bak
执行失败可尝试
# chattr = /etc/ld.so.preload && mv /etc/ld.so.preload /etc/ld.so.preload.bak
2. 检查异常进程
使用命令 ps aux | grep atw 或 ps aux | grep ptuf 查看是否存在异常进程。
3. 检查异常网络链接
使用命令 netstat -antp 查看所有异常网络连接。查看是否存在不明IP地址和端口的连接,同时检查这些连接对应的进程名,是否为上述异常进程或其他未知进程(攻击者可能改变恶意进程名)。
4. 检查系统配置文件
审查 /etc/cron* 目录下的配置文件,查看是否存在未授权或异常的条目。确保没有恶意脚本被设置为自启动。同时,检查~/.ssh/authorized_keys 中是否存在未授权的公钥信息。
如果您的服务器存在上述特征,说明您的系统已经感染了木马。
二、处置建议
鉴于木马已获取系统root权限,简单的病毒清除可能无法完全解决问题,我们推荐您备份数据并重装操作系统,以确保系统环境的完整性和安全性,请参考以下方法进行处置。
- 清理木马样本
参见后面案例。
2. 备份重要数据
备份所有重要数据。注意备份时应避免包含上述木马文件,以及其他执行文件或系统文件,以防其他未知木马文件被误备份。
3. 重装系统
请使用可信来源获取操作系统安装介质,重装系统后更新操作系统到最新版本,并应用所有安全补丁。
4. 加固系统安全
更新并加强密码策略。系统重装后,请立即更新用户的登录密码,安装并配置防病毒软件或防火墙。请参考: https://its.pku.edu.cn/faq_ssh.jsp 。
5. 持续监控和审计
定期审查系统和网络日志,关注任何非授权访问及异常行为;定期使用netstat, top, htop 等工具监控系统运行状态,检查是否存在异常网络连接以及进程。
有任何问题,可以通过如下方式联系我们:联系电话:010-62751023 , 邮箱:its@pku.edu.cn。
清理木马样本案例
查找异常进程
■ 使用lsof定位perl Shellbot病毒进程
Shellbot病毒是perl编程,通过lsof /usr/bin/perl识别异常进程
■ 通过异常网络连接定位异常进程
执行“netstat -anplt”或“ss -antp”指令查看系统网络连接,是否存在异常网络连接,连接异常端口(61986、4041、3333、4444等端口)。
图:perl Shellbot病毒服务端监听61986、4041端口
图:perl Shellbot病毒客户端连接61986端口
图:挖矿特征端口3333、4444
清除异常进程
根据pid确定系统服务
#systemctl status 恶意进程PID
停用服务
#systemctl stop 服务名称
#kill -9 恶意程序PID
停用开机启动
#systemctl disable 服务名称
删除恶意程序
#rm -f 恶意程序
清除异常用户
查找SSH密钥文件
#find / -name "authorized_keys"
默认“bin”用户是不具备登录权限
#cat /etc/passwd|grep bin
异常文件“/usr/sbin/nologin”实际为bash文件
#md5sum /bin/bash
#md5sum /usr/sbin/nologin
删除异常SSH密钥
#rm -f SSH密钥
恢复“/usr/sbin/nologin”
#mv /usr/sbin/nologin /usr/sbin/nologin_bak
#cp /bin/false /usr/sbin/nologin
北京大学计算中心
2024年10月22日