案例 | 某知名IPFS企业服务器被黑,一起来看看网安信安全工程师的“神级“操作 – 作者:网安信科技wax

2021年1月30日,晚上12点,国内某知名IPFS/Filecoin公司的一台服务器突然宕机,部署在上面的多个业务都无法正常运行,该IPFS公司技术人员发现这台服务器的CPU资源占比特别高,通过查看进程发现服务器rsync备份进程和kswapd交换进程占用资源比例最大,初步判断是因为系统备份和交换大量数据导致服务器宕机。由于在这台服务器上有很多重要数据,不容有失,该IPFS公司技术人员不敢妄动,主动向他们的第三方防护公司网安信反馈了详细情况。

5d07e2f159c20a88f13eb0ccb17fd37b.jpg

网安信工程师在接到事故反馈后,第一时间赶到现场,发现出现问题的服务器恰恰不在网安信的防护之内,出于职业敏感,他当即就判断问题服务器中的rsync备份进程和kswapd交换进程有可能是伪装进程,进程的背后其实是一种比较高级的木马程序,但具体是什么木马程序,还需要进一步检查。说干就干,网安信工程师立即进入工作状态,经过仔细的系统追踪和进程查看后,发现问题服务器上果然被黑客植入了一种擅于“隐身”的挖矿程序。

图片[2]-案例 | 某知名IPFS企业服务器被黑,一起来看看网安信安全工程师的“神级“操作 – 作者:网安信科技wax-安全小百科

证明了自己的判断后,网安信工程师连忙将该木马程序与网安信达尔文威胁情报库进行特征比对,进一步确认该木马程序是一种危害性极大的比特币挖矿程序,该木马程序最明显的危害就是大量占用服务器资源,导致服务器无法正常运转。为尽快确认木马类型,网安信工程师对问题服务器继续进行更加深入的检查,包括服务器的各个端口、服务器的网络链接情况,并对服务器的入侵指纹进行特征比对,最终确认该木马程序是Riskware挖矿木马程序。

由于问题服务器通常被该IPFS公司当作网关使用,后面连接着数千台IPFS服务器,如果被黑客侵入了,后果将不堪设想,眼下最要紧的事就是确认黑客的攻击行为是否对该IPFS公司的内部服务器造成影响。由于事情紧迫,网安信工程师顾不上休息,马上启动了全系统检测,对问题服务器上的所有文件进行了更加详细的入侵指纹比对,并没有发现任何可疑文件,又专门针对目标文件进行比对,发现相关木马程序文件不知道什么时候被删除了,但过一会,该木马程序文件又会自动恢复,这说明该木马程序已经无法用常规手段删除,而且可以判定不是服务器上的文件有问题。

那么,是不是服务器上的用户有问题呢?于是,网安信工程师对问题服务器上的用户状况进行了一一排查,终于发现某个可疑用户身上竟然附着一个“定时任务”,该任务可根据问题服务器状况随时从互联网上下载最新的挖矿程序并执行,也就是说在问题服务器上并不需要真正植入任何木马程序,而是通过“定时任务”自主下载与执行。

经过上述一些列神操作,网安信工程师精准锁定了问题服务器上的攻击源,最终制定了一套终极清除相关挖矿木马程序的解决方案,对伪装的rsync备份进程和kswapd交换进程、可疑用户的定时任务、服务器上的后门程序、相关的问题文件以及临时目录中的木马文件进行了彻底清除,让该IPFS公司的服务器恢复了正常运转,此后再也没有出现宕机状况。

来源:freebuf.com 2021-03-02 17:34:30 by: 网安信科技wax

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论