libprocesshider.so
今日私のBaschenサーバーにインストールされているAlibaba Cloudから通知を受け取りました。彼らはそれがバックドアルートキットだと私に言った。
libprocesshider.so
いくつかの調査の結果、バックドアプロセスを隠すためにモジュールを追加することが一般的な慣行であることがわかり、/etc/ld.so.preload
実際に私のサーバーに追加されました。
質問:
libprocesshiderモジュールを使用して実行中のすべての隠しプロセスを追跡できますか?
私のサーバーで発生したダメージをどのように追跡しますか?
journalctl
、/var/log/secure
、 を確認してみると、history
どんな攻撃の痕跡も見つかりませんでした。インストールされたセッションは
libprocesshider.so
まだ有効です。セッションが合法的なリモートユーザーからハイジャック/盗難になっているようです。この人は現在要塞サーバーに接続していないからです。できるだけ早くセッションを終了する必要がありますか?または、セッションでいくつかの情報を追跡できますか?libprocesshider.so
マルウェアではなくアプリケーションによって自動的にインストールできますか?
より多くの情報が必要な場合は、お気軽にお問い合わせください。
答え1
libprocesshiderモジュールを使用して実行中のすべての隠しプロセスを追跡できますか?
いいえ。そのバックドアはなぜログを維持しますか?
私のサーバーで発生したダメージをどのように追跡しますか?
いいえ。
Journalctl、/var/log/secure、履歴を見てみましたが、攻撃の兆候が見つかりませんでした。
それでは、プロセスを隠すために一生懸命働いていますが、活動を記録するのはなぜですか?あなたのサーバーは、人を攻撃して身代金を要求したり、スパムを送信したり、暗号通貨を採掘したり、非常に違法なコンテンツをホストするためにボットネットの一部として使用できます。またはあなたまたはあなたのユーザーデータを盗むことです。
libprocesshider.soがインストールされているセッションがまだ存在します。セッションが合法的なリモートユーザーからハイジャック/盗難になっているようです。この人は現在要塞サーバーに接続していないからです。できるだけ早くセッションを終了する必要がありますか、セッション内の一部の情報を追跡できますか?
よく。これは明らかな答えがある質問のようです。はい.お客様にお知らせください。あなたの現在の場所とあなたの仕事に応じて、責任ある公式サイバーセキュリティ機関に何が起こったのかを知らなければならない法的義務があるかもしれません。返品:
脆弱性がわかったら、すぐにサーバーをシャットダウンする必要があります。
サーバーが実際に何をしているのかわからない場合は、サーバーを稼働状態にしておくとどういう利点がありますか?私たちは、検出された犯罪者があなたのインフラストラクチャを通して活動することを許可することによって現在あなたが刑事責任にさらされていることを理解しています。
libprocesshider.soは、マルウェアではなくアプリケーションによって自動的にインストールできますか?
いいえ。