求助网络安全问题
本帖最后由 requiem116 于 2025-1-21 23:46 编辑实验室有个小计算集群,平常算是我在管理,因为是在单位内网里所以平常安全防护啥的也没有做很多
最近发现被内网里其他中毒的机器攻击后导致几个用户被用来挖矿了,还好普通用户都没有sudo权限没有提权成功
倒腾了一通后倒是把挖矿的东西都删掉了,目前看也没有新的挖矿进程出现了
但是网络中心反应我们的机器还在试图解析僵尸网络地址,特征上反馈是tsunami和minepool,搜了下这两好像都是很老旧的病毒了但是我参考了下各种杀毒教程都没有定位到这个程序在哪
不是专业网管,想着来求助一下有没有啥具体的杀毒思路?小集群只有master节点有网,其他节点都没网,目前是不是只要排查master节点上的可疑进程就行?
挖矿的部分是定位到了/var/tmp还有/dev/shm,/tmp这些路径下,之前是有两个用户下载了相应了的程序并且执行过,目前都清除掉了,其他用户从登录记录看也被登陆过但是看记录没有下载和挖矿行为,要怎么去排查现在这个病毒?既然还在试图解析这个地址就应该是还没杀干净?
解析的地址是irc.ddoser.org,搜了下这个也是老古董了
cron类似的定时任务应该都检查过了吧 要不装个360?记得有linux版 你们这个网络中心有没有买安全应急的服务,有的话让他帮一下你呗。搞这个还是专业的人处理得干净,有些病毒藏得还是比较猥琐的 问问Claude试试 char1st 发表于 2025-1-22 14:36
cron类似的定时任务应该都检查过了吧
root账号下的crontab -l里是没有东西
然后检查了/var/log/cron里面的内容,和一两个月之前的比也没有什么可疑的
是否需要再单独检查每个user下的crontab呢 Hyst3r1a 发表于 2025-1-22 15:39
你们这个网络中心有没有买安全应急的服务,有的话让他帮一下你呗。搞这个还是专业的人处理得干净,有些病毒 ...
和那边沟通过,我都只是说让他们能不能提供个方案或者教程我来操作都没给出啥具体的建议 https://www.freebuf.com/articles/system/419066.html
正好前几天看了一篇类似经验的文章,看看有没有用吧 Hyst3r1a 发表于 2025-1-22 15:54
https://www.freebuf.com/articles/system/419066.html
正好前几天看了一篇类似经验的文章,看看有没有用吧 ...
感谢,正在按照这个排查,不过人家这个安防系统效果还挺好的比我们单位的强不少感觉
页:
[1]