记录一次为客户排查恶意扫描木马-云港网络

大家好，我是孙子烧烤，近期我们客户团队为某江苏客户进行恶意扫描木马排查，下面将排查过程分享给大家，具体步骤仅供参考！部分敏感信息已做模糊处理

事情起因是这位江苏客户收到云厂商的封禁，理由是端口扫描、对外攻击

在解封后的第一时间，联系到我们网安技术团队进行排查

进行初步排查，发现SSH登录日志，在2025年6月7日 - 2025年6月14日一共有4次未经授权的登陆行为

排查计划任务时，发现一条每分钟执行的命令

* * * * * /var/tmp/.update-logs/./.b >/dev/null 2>&1 & disown

我们立刻排查/var/tmp/.update-logs目录，发现恶意扫描程序所在位置，打开ip文件则查看到了要爆破的ip信息和ip段

经过微步云沙箱扫描，确定为木马文件，检测结果：样本报告-微步在线云沙箱

样本分析报告.pdf

下载

pdf文件

630.1K

后面，我们排查网络进程等其他信息，并未发现异常，因此，本次排查完毕

境外服务器建议做好安全措施，不要使用弱密码，设置好对应用户、文件权限，定期做安全扫描

广告：

高性能海外服务器低至200元/年

文章版权声明 1、本网站名称：孙子烧烤知识分享站
2、本站永久网址：https://www.sunzishaokao.com
3、本网站的文章部分内容可能来源于网络，仅供大家学习与参考，如有侵权，[email protected]
4、本站一切资源不代表本站立场，并不代表本站赞同其观点和对其真实性负责。
5、本站一律禁止以任何方式发布或转载任何违法的相关信息，访客发现请向站长举报
6、本站资源大多存储在云盘，如发现链接失效，请联系我们我们会第一时间更新。

THE END