一,排查思路
1.排查系统运行情况
结合用户反映的故障现象,查看进程运行情况(例如,故障现象为资源占用率高,则排查占用资源较多的进程;故障现象为网络带宽占用较多,则排查网络连接较多的进程)、网络连接情况。进一步排查可疑进程所关联的文件、启动进程的账户等信息。
2.排查系统运行环境
通过排查系统账户、启动项、计划任务、系统服务启动等情况,排查可疑进程自动拉起的信息,为阻止恶意程序自运行提供依据。
3.排查攻击来源
查看登录日志、运行日志,排查是否存在远程暴力破解行为、是否有不明IP登录系统,系统内是否出现不明账户,分析passwd、shadow文件完整性和修改时间是否正常,同时对安全事件发生事件进行判定。
4.排查非法入侵系统后的操作
查看历史操作命令,据此对非法入侵系统后的操作进行分析,对非法操作造成的破坏进行针对性地恢复。
5.确定解决方法
根据排查结果,研究解决安全事件的方法。如无法彻底清除恶意程序,则考虑在备份重要数据后重装。
6.系统加固
安全事件处理完毕后,应分析入侵的方式,有针对地对系统进行加固,防止被再次攻击。
二,常见安全入侵排查
(一)挖矿病毒
1.现象
CPU占用率接近100%
2.排查思路
确认占用CPU资源的进程,分析该进程对应的程序,查找可疑文件,并根据文件内容确认是否为挖矿程序。
3.排查过程
对于用户反馈云主机性能卡顿,CPU和内存占用较高的情况:
执行TOP命令,查看占用CPU较高的异常进程,一般多为80%以上,有个别病毒占用CPU可能不高,但是从command名称明显不是系统进程或用户进程,如TSM,Lixsyn,ynlyvtpxia等
对于用户反馈连接云主机卡顿,但CPU和内存占用不高的情况:
可能是云主机出网带宽跑满导致。此时ping云主机公网IP会出现大量丢包
通过该进程PID,查看其关联的程序。
经查看,发现该进程关联隐藏路径,进一步排查该路径下的文件情况。
查看该路径下pools.txt文件,发现内有挖矿文件关联的钱包信息,且关联的IP地址5.255.85.210为荷兰IP地址,因此可确认该主机被植入挖矿进程。
解决办法:
1.杀掉占用CPU资源的病毒进程。
2.删除恶意程序。
3.停用与恶意程序关联的系统账户并修改系统账户密码,限制该账户远程登录权限。
4.检查定时任务、开机自启动文件等,彻底清理挖矿程序痕迹。
(二)十字符病毒
1.故障现象
名称由随机10字符组成的进程,运行时占用大量CPU资源,伴有网络流量较大、占满带宽的现象,无法通过kill命令终止该进程。
2.排查思路
确认占用CPU资源的进程,分析该进程对应的程序,同时查看计划任务、启动脚本等,排查是否存在可疑文件,并根据文件内容确认恶意脚本程序。
3.排查过程
查看进程列表,确认占用CPU资源的主要进程。
由于病毒通常具有自动运行机制,因此常常藏身于计划任务中。查系统计划任务中是否存在可疑脚本,并对脚本进行进一步分析核查,可确认系统被感染病毒,病毒本体是/lib/libudev.so
4.解决方法
1)暂停病毒进程(强制终止该进程后,病毒程序还会自动拉起一个新的进程运行。
2)删除恶意程序脚本。
3)杀掉病毒进程。
4)清理计划任务内容。
5)删除病毒本体。
6)检查开机自启动项等内容,彻底清理病毒痕迹。
三,系统加固操作建议
针对linux云主机,建议您绑定linux开放22端口安全组,移除默认安全组,单独开放需要的端口,使用复杂密码并定期更换,同时定期对您的云主机制作私有镜像,操作方法请参考下列文档:
