libprocesshider.so오늘 내 배스천 서버에 설치된 Alibaba Cloud로부터 알림을 받았습니다 . 그들은 그것이 백도어 루트킷이라고 나에게 말했습니다.
libprocesshider.so몇 가지 조사를 한 결과 백도어 프로세스를 숨기기 위해 모듈을 추가하는 것이 일반적인 관행이라는 사실을 발견했으며 /etc/ld.so.preload실제로 내 서버에 추가되었습니다.
질문:
libprocesshider 모듈을 사용하여 실행 중인 모든 숨겨진 프로세스를 추적할 수 있습니까?
내 서버에 발생한 피해를 어떻게 추적합니까?
journalctl,/var/log/secure, 을 확인해 보니history어떤 공격의 흔적도 발견되지 않았습니다.설치된 세션이
libprocesshider.so여전히 유효합니다. 세션이 합법적인 원격 사용자로부터 하이재킹/도난된 것 같습니다. 이 사람은 현재 요새 서버에 연결되어 있지 않기 때문입니다. 가능한 한 빨리 세션을 종료해야 합니까? 아니면 세션에서 일부 정보를 추적할 수 있습니까?libprocesshider.so맬웨어가 아닌 응용 프로그램에 의해 자동으로 설치될 수 있습니까 ?
더 많은 정보가 필요하시면 언제든지 문의해 주세요.
답변1
libprocesshider 모듈을 사용하여 실행 중인 모든 숨겨진 프로세스를 추적할 수 있습니까?
아니요. 그 백도어는 왜 로그를 유지하나요?
내 서버에 발생한 피해를 어떻게 추적합니까?
아니요.
Journalctl, /var/log/secure, 기록을 살펴봤지만 공격 흔적을 찾을 수 없습니다.
그렇다면 프로세스를 숨기기 위해 열심히 노력하고 있는데 활동을 기록하는 이유는 무엇일까요? 귀하의 서버는 사람을 공격하여 몸값을 요구하거나, 스팸을 보내거나, 암호화폐를 채굴하거나, 매우 불법적인 콘텐츠를 호스팅하기 위해 봇넷의 일부로 사용될 수 있습니다. 또는 귀하 또는 귀하의 사용자 데이터를 훔치는 것입니다.
libprocesshider.so가 설치된 세션이 여전히 존재합니다. 세션이 합법적인 원격 사용자로부터 하이재킹/도난된 것 같습니다. 이 사람은 현재 요새 서버에 연결되어 있지 않기 때문입니다. 가능한 한 빨리 세션을 종료해야 합니까, 아니면 세션에서 일부 정보를 추적할 수 있습니까?
잘. 이것은 분명한 답이 있는 질문인 것 같습니다. 예, 세션을 종료하고, 사용자를 삭제하고, 다른 모든 사용자에게 귀하의 서버에 있거나 서버를 통해 저장된 데이터가 손상되었을 수 있음을 알립니다. 고객에게 알리십시오. 현재 위치와 수행하는 작업에 따라 책임 있는 공식 사이버 보안 기관에 무슨 일이 있었는지 알려야 할 법적 의무가 있을 수도 있습니다. 반품:
취약점을 알게 되면 즉시 서버를 종료해야 합니다.
서버가 실제로 무엇을 하고 있는지 모르는 경우 서버를 실행 상태로 두면 정확히 어떤 이점이 있나요? 우리는 탐지된 범죄자가 귀하의 인프라를 통해 활동하도록 허용함으로써 현재 귀하가 형사 책임에 노출되어 있음을 이해합니다.
libprocesshider.so가 맬웨어가 아닌 응용 프로그램에 의해 자동으로 설치될 수 있습니까?
아니요.