/p>
一、前言
近日,天融信应急响应中心接到某企业客户反馈,企业数据管理系统感染了某种病毒,大量占用其CPU,严重影响了日常工作推进。客户在发现情况后已将被感染的服务器进行断网,与网络中的其他机器进行隔离。天融信应急工程师经过初步沟通及排查后,判断此为经典挖矿类事件,并迅速展开了专业的应急处置工作。
二、取证情况
三、溯源排查过程
1、查看服务器进程运行状态
查看服务器系统整体运行情况,发现名为kdevtmpfsi的挖矿进程大量占用系统CPU使用率。
2、查看端口及外联情况
查看端口开放状态及外联情况,发现主机存在陌生外联行为。
3、查看计划任务
查看服务器定时任务,在定时任务中也发现存在请求外部地址的恶意指令:
对该外部地址进行查询发现属于国外地址,进一步确定该进程为恶意挖矿进程:
4、定位挖矿进程及其守护进程PID
挖矿病毒kdevtmpfsi在运行过程中不仅会产生进程kdevtmpfsi,还存在守护进程kinsing,该进程会不断重启挖矿shell脚本,所以必须将主进程和守护进程一起消灭。因此需要对进程kinsing进行定位。
查看主进程kdevtmpfsi的PID:
使用systemctl status 10393定位进程kinsing。
5、Redis服务排查
通过端口开放情况发现6379端口及22端口正常开放。
查看redis配置文件,发现未设置登陆密码,任意用户均可成功连接。
6、查看redis日志
通过查看redis配置文件/etc/redis.conf发现日志功能未开启。
7、查找敏感文件
发现authorized_keys文件。
8、查看ssh日志文件
查看ssh日志文件,发现大量登陆痕迹以及公钥上传痕迹。
四、应急处置过程
1、终止恶意进程
使用kill -9<PID>终止该挖矿进程运行,并对挖矿病毒运行产生的文件进行清理。
2、清理定时任务
清除定时任务,清理服务器上的.ssh文件夹。给redis服务配置密码并绑定IP限制本地访问,重启服务器生效。
3、为 Redis 添加密码验证
修改/etc/redis.conf,设置redis密码并绑定IP限制本地访问,重启服务器生效。
4、禁用ssh密码登录
修改/etc/ssh/sshd_config,将PasswordAuthentication no改为yes并去除注释。在服务器上针对ssh服务启用公钥登录,禁用密码登录。
在整个处置过程中,天融信应急工程师通过分析发现:服务器上使用root权限以默认方式部署Redis服务并对外映射,因此导致该服务器存在Redis未授权访问漏洞。攻击者利用该漏洞成功连接Redis服务并上传公钥至服务器,进而通过ssh免密登录并获取服务器完全控制权,从而部署挖矿病毒,导致服务器病毒感染,CPU占用率持续升高。五、后续防范建议
1、在部门开展针对性的安全教育,认真落实网络安全职责,严格按照总公司安全审计处要求为各类远程办公场所做安全防范部署。
2、定期检查各远程办公机构PC客户端安全软件安装情况及病毒库更新情况,确保每台主机安全防护是有效可用的。
3、要求各远程办公部门定期对PC进行杀毒。
标签: redis查看客户端连接