내 CentOS 서버가 손상되었고 백도어가 /var/www/html/에 업로드되었습니다. 저는 백도어를 제거하고 백도어를 검색했습니다. 제거되었는지 확인하기 위해 백도어는 실제로 제거되었지만 " ls " "ps"일 때... 어느 사전에서든 백도어 파일이 다시 생성됩니다.
공격 당일 /usr/bin/ls, /usr/bin/ps... 파일이 수정된 것을 확인했습니다.
백도어가 제거된 후 백도어를 생성한 프로세스를 찾기 위해 (auditctl 및 ausearchclear)를 사용하여 오랜 감사를 거친 결과는 다음과 같습니다.
time->Sat Jan 13 17:44:37 2024
type=PROCTITLE msg=audit(1705189477.956:12083978): proctitle=726D002D69002F7661722F7777772F68746D6C2F6D61676E69746F2E706870
type=PATH msg=audit(1705189477.956:12083978): item=1 name="/var/www/html/xx.php" inode=35084690 dev=fd:00 mode=0100777 ouid=0 ogid=0 rdev=00:00 objtype=DELETE cap_fp=0000000000000000 cap_fi=0000000000000000 cap_fe=0 cap_fver=0
type=PATH msg=audit(1705189477.956:12083978): item=0 name="/var/www/html/" inode=34033743 dev=fd:00 mode=040775 ouid=995 ogid=995 rdev=00:00 objtype=PARENT cap_fp=0000000000000000 cap_fi=0000000000000000 cap_fe=0 cap_fver=0
type=CWD msg=audit(1705189477.956:12083978): cwd="/root"
type=SYSCALL msg=audit(1705189477.956:12083978): arch=c000003e syscall=263 success=yes exit=0 a0=ffffffffffffff9c a1=1e670c0 a2=0 a3=7ffcc4acfea0 items=2 ppid=8050 pid=9434 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts2 ses=193704 comm="rm" exe="/usr/bin/rm" key=(null)
----
time->Sat Jan 13 17:45:07 2024
type=PROCTITLE msg=audit(1705189507.759:12083995): proctitle=6C73002D2D636F6C6F723D6175746F002F
type=PATH msg=audit(1705189507.759:12083995): item=1 name="/var/www/html/xx.php" inode=35084690 dev=fd:00 mode=0100644 ouid=0 ogid=0 rdev=00:00 objtype=CREATE cap_fp=0000000000000000 cap_fi=0000000000000000 cap_fe=0 cap_fver=0
type=PATH msg=audit(1705189507.759:12083995): item=0 name="/var/www/html/" inode=34033743 dev=fd:00 mode=040775 ouid=995 ogid=995 rdev=00:00 objtype=PARENT cap_fp=0000000000000000 cap_fi=0000000000000000 cap_fe=0 cap_fver=0
type=CWD msg=audit(1705189507.759:12083995): cwd="/root"
type=SYSCALL msg=audit(1705189507.759:12083995): arch=c000003e syscall=2 success=yes exit=3 a0=7f22b8e630f9 a1=242 a2=1b6 a3=24 items=2 ppid=8050 pid=9465 auid=0 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=pts2 ses=193704 comm="ls" exe="/usr/bin/ls" key=(null)
Linux 명령어를 실행하여 백도어 생성에 사용되는 실행 명령어를 제대로 모니터링하고 찾는 방법이나, /usr/bin/ls, /usr/bin/ps 파일을 수정하여 주입할 수 있는 방법이 있는지 알고 싶습니다. . ..