今天我收到了来自阿里云的警报,libprocesshider.so安装在我的堡垒服务器上。他们告诉我这是一个后门 Rootkit。
我研究了一下,发现libprocesshider.so通常用于隐藏后门进程并且将模块添加到 是一种常见的做法/etc/ld.so.preload,并且它确实被添加到我的服务器上。
问题:
我可以跟踪使用 libprocesshider 模块运行的所有隐藏进程吗?
我如何跟踪它对我的服务器造成的损害?我查看了
journalctl,/var/log/secure和history, 但找不到任何攻击痕迹。安装的会话
libprocesshider.so仍然存在。我认为会话是从合法的远程用户那里劫持/窃取的。由于此人当前未连接到堡垒服务器。我应该尽快终止会话,还是可以从中追踪一些信息?是否有可能
libprocesshider.so由非恶意软件应用程序自动安装?
如果您需要更多信息,请随时询问。
不,为什么那个后门会保留日志?
不是。
那么,当您努力隐藏进程时,为什么要记录您的活动?您的服务器可能被用作僵尸网络的一部分来攻击人们以勒索赎金、发送垃圾邮件、挖掘加密货币或托管部分高度非法的内容。或者,它是为了窃取您或您的用户的数据。
呃。这似乎是一个答案显而易见的问题。是的,终止会话,删除用户,告诉所有其他用户他们放置在您的服务器上或通过您的服务器的数据可能已被泄露。通知您的客户;根据你所在的位置和所做的事情,你可能还有法律义务告诉负责的官方网络安全机构发生了什么。还:
您应该在知道该漏洞利用的那一刻就关闭该服务器。
如果您不知道服务器实际在做什么,那么让服务器运行到底有什么好处?据我们所知,您目前允许被检测到的犯罪分子在您的基础设施上操作,从而使自己承担刑事责任。
不。