亚洲av男人的天堂,777色淫网站女女免费,欧美黑人另类综合大区在线观看

前言

在某個(gè)風(fēng)和日麗的下午，突然收到客戶那邊運(yùn)維發(fā)過來的消息說我司的DTA設(shè)備在瘋狂告警，說存在惡意域名外聯(lián)，我急忙背上小背包前往客戶現(xiàn)場，經(jīng)過與客戶協(xié)同排查，最終確定該事件為一起挖礦病毒引起的惡意域名外聯(lián)事件。（因客戶信息保密且為了保證文章邏輯完整性，部分截圖為后期追加圖）

事件分析

一看域名地址donate.v2.xmrig.com，xmrig這不門羅幣的礦池地址嗎，看來是個(gè)挖礦事件，從DTA上的告警時(shí)間和告警事件來看，確實(shí)是個(gè)挖礦事件。經(jīng)過在DTA產(chǎn)品上分析發(fā)現(xiàn)該IP的流量信息，發(fā)現(xiàn)該IP主機(jī)一直在對該惡意域名進(jìn)行外聯(lián)請求，經(jīng)過和客戶溝通之后，對被害主機(jī)進(jìn)行上機(jī)排查。執(zhí)行top命令并未發(fā)現(xiàn)存在CPU異常，執(zhí)行ps命令也未發(fā)現(xiàn)惡意進(jìn)程，netstat命令也未發(fā)現(xiàn)惡意ip連接等行為。

但是在DTA上，該臺主機(jī)確實(shí)一直在請求惡意域名，應(yīng)該是做了一些隱藏進(jìn)程的手段，現(xiàn)在類似這種挖礦病毒存在一種主流的隱藏方法，那就是通過LD_PRELOAD來修改運(yùn)行鏈接庫，修改LD_PRELOAD之后允許在你的程序運(yùn)行前加載所修改的動態(tài)鏈接庫。那去/etc目錄下看看是否存在ld.so.preload這個(gè)文件

用系統(tǒng)的自帶的ls命令并未發(fā)現(xiàn)ld.so.preload文件，這里懷疑是一些系統(tǒng)自帶的ls等命令已經(jīng)被動態(tài)鏈接庫所hook劫持了，導(dǎo)致查看不到文件，所以上傳了一個(gè)busybox，不用系統(tǒng)自帶的命令來進(jìn)行查看。

ld.so.preload這個(gè)文件，在系統(tǒng)中默認(rèn)不存在這個(gè)文件或者該文件為空這里直接通過busybox把這個(gè)文件給進(jìn)行刪除

然后再次使用top命令進(jìn)行查看

執(zhí)行l(wèi)sof -p [pid]命令來定位挖礦木馬進(jìn)程文件

來到該目錄下發(fā)現(xiàn)如下

kill -9 3582558去kill掉挖礦木馬進(jìn)程，然后再把挖礦木馬一并刪除，但是一段時(shí)間后，DTA設(shè)備上又傳來了失陷告警，且該目錄下又重新生成了挖礦程序。使用crontab -l 檢查定時(shí)任務(wù)，發(fā)現(xiàn)一個(gè)可疑定時(shí)程序，該定時(shí)執(zhí)行一個(gè)a.sh文件

該腳本主要內(nèi)容如下

定義環(huán)境變量用來存取配置文件，然后檢查ddns.log文件是否存在，這里的邏輯是檢查當(dāng)前時(shí)間與文件最后修改時(shí)間的差值。如果這個(gè)差值大于 6 秒，腳本輸出 "process is not running"，表示進(jìn)程可能已經(jīng)停止運(yùn)行。如果差值不超過 6 秒，腳本認(rèn)為進(jìn)程可能仍在運(yùn)行。最后根據(jù)不同用戶來curl不用的sh文件，ai.sh一些關(guān)鍵代碼如下

殺死大于CPU使用率超過65%的所有進(jìn)程，防止一些其他挖礦程序或者其他干擾CPU進(jìn)程的運(yùn)行

下載的文件名和受害機(jī)上文件一致，且確定為挖礦程序。

對此刪除掉惡意定時(shí)任務(wù)、挖礦病毒，重新kill進(jìn)程，DTA恢復(fù)正常，無失陷流量告警。挖礦病毒應(yīng)急算是解決完了，要繼續(xù)還原攻擊者的攻擊鏈路，根據(jù)挖礦木馬可以分析出攻擊者最先落地的是一個(gè)a.sh文件，根據(jù)a.sh文件名和落地時(shí)間和/var/log/messages里面所顯示的腳本首次啟動時(shí)間去查找日志，通過在態(tài)感、WAF、日志審計(jì)系統(tǒng)等設(shè)備再結(jié)合開放的端口服務(wù)結(jié)合查找，終于定位到一條如下攻擊日志。

POST /pages/doenterpagevariables.action HTTP/1.1

通過再次復(fù)現(xiàn)驗(yàn)證

可以確認(rèn)攻擊者通過8090端口開放的Confluence應(yīng)用（該版本的Confluence應(yīng)用存在RCE漏洞）進(jìn)行g(shù)etshell，然后上傳a.sh文件，最后上傳挖礦木馬進(jìn)行挖礦操作。至此整個(gè)攻擊鏈路和應(yīng)急流程已全部梳理完畢。

審核編輯黃宇

聲明：本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人，不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習(xí)之用，如有內(nèi)容侵權(quán)或者其他違規(guī)問題，請聯(lián)系本站處理。舉報(bào)投訴

域名

域名

+關(guān)注

關(guān)注
0

文章
69

瀏覽量
11271
端口

端口

+關(guān)注

關(guān)注
4

文章
935

瀏覽量
31945
DTA

DTA

+關(guān)注

關(guān)注
0

文章
6

瀏覽量
2976

域名Whois檢測的重要性

，分別是企業(yè)網(wǎng)絡(luò)安全、品牌保護(hù)以及域名管理來看看域名Whois檢測有什么作用。 ? 在企業(yè)網(wǎng)絡(luò)安全方面，域名Whois檢測可以起到識別潛在網(wǎng)絡(luò)威脅和預(yù)防域名劫持和篡改的作用。不法分子

發(fā)表于 10-16 09:38 ?121次閱讀

遠(yuǎn)程升級頻頻失??？原因竟然是…

?最近有客戶反饋在鄉(xiāng)村里頻繁出現(xiàn)掉線的情況。趕緊排查原因！通過換貨、換SIM卡對比排查測試，發(fā)現(xiàn)只有去年采購的那批模塊在客戶環(huán)境附近會出現(xiàn)掉線的情況，而今年采購的模塊批次就不會掉線。。。繼續(xù)

發(fā)表于 10-14 07:07 ?54次閱讀

遠(yuǎn)程升級頻頻失敗？<b class='flag-5'>原因</b><b class='flag-5'>竟然是</b>…

異常重啟怎么破？多方排查后，原因竟然是。。。

?又是異常重啟。。。讓人摸不到頭腦。這幾天，看到客戶上報(bào)了重啟問題，說是查不出原因。重啟現(xiàn)象是 ——有極個(gè)別設(shè)備在工作中不定時(shí)反復(fù)異常重啟，大部分設(shè)備正常；反復(fù)重啟設(shè)備，有時(shí)候又能持續(xù)正常工作

發(fā)表于 10-14 07:04 ?92次閱讀

異常重啟怎么破？多方排查后，<b class='flag-5'>原因</b><b class='flag-5'>竟然是</b>。。。

令人頭疼的異常重啟，竟然是KV的鍋…

合宙模組異常重啟原因排查

發(fā)表于 09-26 18:14 ?298次閱讀

令人頭疼的異常重啟，<b class='flag-5'>竟然是</b>KV的鍋…

域名：結(jié)構(gòu)、功能與管理

域名是互聯(lián)網(wǎng)的重要組成部分，是訪問網(wǎng)絡(luò)資源的基礎(chǔ)。不僅是網(wǎng)絡(luò)中的“門牌號”，也是企業(yè)和品牌在線身份的體現(xiàn)。接下來，讓我來為大家科普一下域名相關(guān)問題。域名的基本結(jié)構(gòu) 域名的結(jié)構(gòu)好幾個(gè)部

發(fā)表于 08-12 16:24 ?215次閱讀