一般来说,常规不是专门针对情报类的攻击,无非就是拿来挖矿或者被勒索,先来讲讲被挖矿。
挖矿会很明显的出现CPU、内存、网络的高占用,此时你首先要找到问题发生的原因和发生这些异常行为的进程
-
cpu占用查询
top -c -o %CPUps -eo pid,ppid,%mem,%cpu,cmd --sort=-%cpu | head -n 10
-
内存占用
top -c -o %MEMps -eo pid,ppid,%mem,%cpu,cmd --sort=-%mem | head -n 10
-
网络占用
- nethogs
- jnettop
从上面异常行为我们可以判断异常进程的pid,那就可以根据pid来找到异常命令及文件
lsof -p pidcat /proc/pid/mapspwdx pidls -al /proc/pid/exe
碰到一些高级脚本可能会通过隐匿进程pid的方式隐藏,这里可以通过linux提供的/proc接口去查找,这里梦幻联动始皇领读的菜鸟linux教程,自己去看一下相关章节去了解。
当然有可能是pid的主进程通过fork的方式分发了很多线程去做事情,可以通过线程去做恶意操作
这里可以通过htop和pstree -agplU来查看异常操作
当你找到了恶意的样本,可以通过stat查看创建时间来确定成功攻击的时间,然后根据这个时间可以拿来做很多分析。
当然如果你没有相关的恶意文件相关分析经验你也可以通过在线平台来确定是不是恶意的,这里就推荐两家来做分析,一个是微步在线 https://x.threatbook.com/,另一个是VThttps://www.virustotal.com/,可以通过md5及hash或者直接传文件进行分析。
你现在已经确定了恶意文件和恶意的进程了,那么首先要干掉这个东西,当然你可以直接kill -9直接干掉,但是一般做了进程保护的恶意文件就杀不掉,所以你需要杀掉进程组,用kill -9 -pid去杀,注意这里多了个-,是确保杀掉进程组的。
当然再高级一点恶意文件会有守护进程和自动启动,这里打AWD的朋友可能会了解一些不死马相关技术,这里是同样的一些烂手段,可以尝试采用pkill -f 来结束相关进程。
只是干掉进程肯定治标不治本的,现在你要做的事情就是要删除恶意文件,可以通过lsof分析该文件是不是还启动其他可以恶意进程,删除直接根据inode删除,防止他用一些幺蛾子方式进行保护,查看inode ls -li然后干掉rm `find ./* -inum inode值
最后就是检查一些带有自动能力的目录有没有遗留自启动后门,这个放在后面作为单独一篇来讲吧。
然后剩下的就是分析怎么搞进来的了,这个分了很多场景,具体看我有没有时间和本贴的点赞和回复情况来决定要不要更新其他的内容,暂定除我回复内容外100回复和100赞就更新勒索病毒的处置,然后再决定后续的场景(例web搞进来的,ssh搞进来的,某些软件搞进来的)分析以及高阶对抗类的分析。
三年前脱离苦海 裁判方和客户之间的互相勾结还咋玩