记一次挖矿病毒应急处置全过程
最新回答
人潮拥挤我该远离
2020-09-28 08:06:59
一、取证情况
二、溯源排查过程
1. **查看服务器进程运行状态**:系统运行情况检查发现名为kdevtmpfsi的挖矿进程占用CPU。
2. **查看端口及外联情况**:确认存在陌生外联行为。
3. **查看计划任务**:在定时任务中发现请求外部地址的恶意指令。
4. **定位挖矿进程及其守护进程PID**:主进程kdevtmpfsi与守护进程kinsing共同运作,需一并清除。
5. **Redis服务排查**:发现服务端口正常开放,但未设置密码,允许任意用户连接。
6. **查看redis日志**:未开启日志功能,记录重要信息缺失。
7. **查找敏感文件**:发现authorized_keys文件。
8. **查看ssh日志文件**:发现大量登录和公钥上传记录。
三、应急处置过程
1. **终止恶意进程**:使用kill命令终止挖矿进程,清理相关文件。
2. **清理定时任务**:清除定时任务,清理.ssh文件夹,并为Redis服务配置密码和限制本地访问。
3. **为Redis添加密码验证**:修改配置文件设置密码并限制IP访问,重启服务器。
4. **禁用SSH密码登录**:修改配置文件禁用密码登录,启用公钥登录。
四、后续防范建议
1. **安全教育**:开展部门安全培训,明确网络安全责任。
2. **安全软件维护**:定期检查远程办公场所安全软件安装情况及病毒库更新。
3. **定期杀毒**:要求定期对PC进行杀毒。
通过以上步骤,成功应对了此次挖矿病毒事件,并提出有效防范措施,旨在提升整体网络安全水平。
热门标签
