一篇不算太正规的入侵检测

起因是这样的,刚入职一家小公司,发现部门同事和负责人有点不太对劲。

因为入职时开的工资比他们高,但是从事的工作内容也和同事不一样,主要就是Linux服务器方面,包括安全问题,而且这家公司的服务器安全问题比较重要。所以问题来了,同事都是做硬件实施的,跟服务器基本不搭边,而且他们也都不懂Linux,然后呢,他们就会各种偷窥屏幕之类,部门负责人的态度也不明确,而且他也有点想让周围同事从我这里学东西的意思。所以呢,我在做工作的时候,就稍微的留了些手段,毕竟出来混嘛,害人之心不可有,防人之心不可无。万一遇到卸磨杀驴的人了呢,你说是吧。

问题服务器是一台CentOS6.9,因为被黑了,所以被机房拔线了。根据负责人提供的信息,判断应该是中了挖矿病毒。到了现场后,插上显示器键盘,随便一看,就发现CPU占用100%,一个奇怪的进程占满了CPU资源,名字叫bash,二话不说,干掉。用这个名字也太low了点。

然后一分钟后进程又来了,哈哈,不杀了,看看宿主,一个根本不会用到的用户,su过去,找到程序位置,打包,scp走,删之。

查看定时任务,嗯,确实是在这里,删。

回到ROOT下,清掉证书登陆。这时候又发现一个奇怪的进程,叫imap,哈哈,看来还有。不过没关系,我把之前删掉文件中的几个域名全BAN掉,让你下不了病毒回来。

然后去看了下那几个病毒文件,居然有xhide,这个鼎鼎大名的东西,哈哈,那么系统里肯定还有隐藏的东西,但是呢,我也不去深挖了,扔那。

随手看了下登陆日志,我去,一堆爆破信息,当然也记录了第一次成功登陆的信息,期间因为把这事跟销售随口提了一下,销售就要我提供完整的资料,美其名曰写报告,我就呵呵了,这种套路,谁不明白呢,给了你信息你就转给我同事了。

好了,既然你们这么爱玩套路,那就别怪我留一手啦。隐患不排除,留着,哈哈。