Início / unix / Perguntas / 737188
Accepted
Lunartist
Asked: 2023-02-28 16:59:28 +0800 CST

libprocesshider.so instalado e adicionado a /etc/ld.so.preload

  • 772

Hoje recebi um alerta do AlibabaCloud que libprocesshider.soestá instalado no meu servidor bastion. Eles me disseram que é um rootkit backdoor.

Pesquisei um pouco e descobri que libprocesshider.sogeralmente é usado para ocultar processos backdoor e é uma prática comum adicionar o módulo ao /etc/ld.so.preload, e de fato foi adicionado ao meu servidor.

Questões:

  • Posso rastrear todos os processos ocultos que foram executados com o módulo libprocesshider?

  • Como posso rastrear os danos causados ​​em meus servidores? Pesquisei journalctl, /var/log/securee history, mas não encontrei nenhum traço de ataque.

  • A sessão instalada libprocesshider.soainda está ativa. Acho que a sessão foi sequestrada/roubada de um usuário remoto legítimo. Como a pessoa não está conectada ao servidor bastion. Devo encerrar a sessão o mais rápido possível ou posso rastrear algumas informações dela?

  • Existe uma chance de que libprocesshider.sofoi instalado automaticamente por um aplicativo não-malware?

Sinta-se à vontade para perguntar se precisar de mais informações.

security

1 respostas

  1. Best Answer

    Posso rastrear todos os processos ocultos que foram executados com o módulo libprocesshider?

    Não. Por que aquela porta dos fundos, de todas as coisas, manteria um log?

    Como posso rastrear os danos causados ​​em meus servidores?

    Não.

    Procurei em journalctl, /var/log/secure e history, mas não consegui encontrar nenhum traço de ataque.

    Bem, quando você se esforça para ocultar processos, por que registrar suas atividades? Seu servidor provavelmente foi usado como parte de um botnet para atacar pessoas para extorquir resgate, enviar e-mails de spam, minerar criptomoedas ou hospedar partes de conteúdo altamente ilegal. Ou foi para roubar seus dados ou de seus usuários.

    A sessão que instalou libprocesshider.so ainda está ativa. Acho que a sessão foi sequestrada/roubada de um usuário remoto legítimo. Como a pessoa não está conectada ao servidor bastion. Devo encerrar a sessão o mais rápido possível ou posso rastrear algumas informações dela?

    Errar. Parece uma pergunta com uma resposta óbvia. Sim, elimine a sessão, remova o usuário, diga a todos os seus outros usuários que os dados que eles colocaram em ou através do seu servidor provavelmente foram comprometidos. Informe seus clientes; dependendo de onde você está e do que faz, você também pode ser legalmente obrigado a informar os órgãos oficiais de segurança cibernética responsáveis ​​sobre o que aconteceu. Também:

    Você deveria ter desligado aquele servidor no momento em que soube da exploração.

    O que exatamente você está fazendo ao deixar seu servidor rodar se você não pode saber o que seu servidor está realmente fazendo? Pelo que sabemos, você está se responsabilizando criminalmente por permitir que um criminoso detectado opere em sua infraestrutura.

    Existe uma chance de que o libprocesshider.so tenha sido instalado automaticamente por um aplicativo não-malware?

    não.

    • 1

relate perguntas