Ко мне обратился бывший коллега с просьбой помочь. К нему пришло уведомление от хостинг провайдера где был размещен веб-сервис.
“тут одна фигня есть, я не знаю что такое но нужно разобраться, есть один VPS на ps.kz где мы переразвернули наш сервис(до этого был не наш впс мы дорабатывали существующий сервис типа), и теперь с пс кз все время приходят такие сообщенияты сталкивался с таким? что это за фигня, подскажи плиз”
<aside> ⚠️
Очень важно изолировать при возможности хост от внешней среды для проведения углубленного анализа и в последствии избавиться от всех вредоносных образцов файлов и устранить точку входа.
</aside>
И первое что я предложил ему, проанализировать сетевую активность.
Фильтруя грепом известные/легитимные коннекты находим первые следы коннекта к C2
137.175.90.210
179.43.139.84 - потенциально зловредный по анализу на VirusTotal
Симптомы нагрузки CPU 100% процессом kauditd схожи на наш случай:
Поиск по известному PID из анализа коннектов даёт отсылку к ls - веротно часть алгоритмов сокрытия трояна в системе:
Древо PID процесса kawcfevies выдаёт ещё несколько таких
Поиск на хосте по данному файлу подсветил 2 таких файла в разных директориях
[root@23554-restored ~]# cat /etc/init.d/kawcfevies
#!/bin/sh
# chkconfig: 12345 90 90
# description: kawcfevies
### BEGIN INIT INFO
# Provides: kawcfevies
# Required-Start:
# Required-Stop:
# Default-Start: 1 2 3 4 5
# Default-Stop:
# Short-Description: kawcfevies
### END INIT INFO
case $1 in
start)
/usr/bin/kawcfevies
;;
stop)
;;
*)
/usr/bin/kawcfevies
;;
esac
[root@23554-restored ~]# cat /etc/rc.d/init.d/kawcfevies
!#идентично первому файлу