文章描述了一次对公司客户服务器的应急排查过程,发现系统中存在恶意预加载项、可疑计划任务和恶意服务,涉及恶意文件、矿池连接和SSH后门。最终采取了一系列处置措施来清除威胁。
场景
受公司委托对客户服务器进行应急排查,监测设备未发现入侵告警,只存在同网段地址之间进行相互tcp扫描,爆破行为,话不多说,直接上机排查,整整15台,我丢。开搞!
排查分析
对CPU使用率及进程进行排查未发现异常。且对端口连接进行排查,发现存在对公网IP的连接,且连接无法显示pid号,推测系统中存在恶意预加载项。
预加载文件排查
因对外连接无法显示pid号,推测系统中存在恶意预加载项。检查预加载文件/etc/ld.so.preload,发现存在动态链接库/usr/local/lib/pkit.so、/usr/local/lib/fkit.so、/usr/local/lib/skit.so,丢沙箱分析一下确认是恶意文件
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
