今天,我收到了来自阿里云的警报,该警报libprocesshider.so安装在我的堡垒服务器上。他们告诉我这是一个后门rootkit。
我研究了一下,发现libprocesshider.so通常用于隐藏后门进程,将模块添加到 是一种常见的做法/etc/ld.so.preload,而且它确实已添加到我的服务器上。
问题:
我可以跟踪使用 libprocesshider 模块运行的所有隐藏进程吗?
我如何跟踪它对我的服务器造成的损坏?我查看了
journalctl、/var/log/secure、history,但没有发现任何攻击的痕迹。安装的会话
libprocesshider.so仍然有效。我认为该会话是从合法的远程用户那里劫持/窃取的。由于此人当前未连接到堡垒服务器。我应该尽快终止会话,还是可以从中跟踪一些信息?是否有可能
libprocesshider.so由非恶意软件应用程序自动安装?
如果您需要更多信息,请随时询问。
答案1
我可以跟踪使用 libprocesshider 模块运行的所有隐藏进程吗?
不。为什么那个后门会保留日志呢?
我如何跟踪它对我的服务器造成的损坏?
不是。
我查看了journalctl、/var/log/secure和历史记录,但找不到任何攻击痕迹。
那么,当您努力隐藏流程时,为什么要记录您的活动呢?您的服务器可能被用作僵尸网络的一部分来攻击人们以勒索赎金,或发送垃圾邮件,或挖掘加密货币,或托管部分高度非法内容。或者,它是为了窃取您或您用户的数据。
安装 libprocesshider.so 的会话仍然存在。我认为该会话是从合法的远程用户那里劫持/窃取的。由于此人当前未连接到堡垒服务器。我应该尽快终止会话,还是可以从中跟踪一些信息?
呃。这似乎是一个有明显答案的问题。是的,终止会话,删除用户,告诉所有其他用户他们放置在您的服务器上或通过您的服务器的数据可能已被泄露。通知您的客户;根据您所在的位置和所做的事情,您可能还有法律义务告诉负责的官方网络安全机构发生了什么事。还:
当您得知该漏洞时,您应该立即关闭该服务器。
如果您不知道服务器实际在做什么,那么让服务器运行到底有什么好处呢?据我们所知,目前您允许检测到的犯罪分子通过您的基础设施进行操作,从而使自己承担刑事责任。
libprocesshider.so 是否有可能由非恶意软件应用程序自动安装?
不。