记一次超算中毒应急响应流程

一. 事件发现
某天在防火墙上看到大量告警，发现超算地址一直在访问不同僵尸主机的22和2222端口。


二、应急处置

1. 登录主机是台linux服务器，top查看系统进程占用排行，发现lighttpd进程占用偏高

2. 查看会话

发现有大量对外22端口和2222端口会话，其中多为TIME_WAIT状态，符合端口爆破特征。

筛选lighttpd

3. 在防火墙新建一条临时排查策略，查看历史会话记录

发现该IP短时间内有大量历史会话

确认为ssh爆破行为
4.进入proc查看进程，发现是admin用户目录下的一个隐藏文件夹中的文件，伪装成lighttpd

5.kill -kill强制结束经常，然后删除对应文件。
7.查看计划任务，有三条恶意计划任务，全部删除

有三条计划任务
8.后经过于厂商联系，反馈admin用户非系统自带，应该是其他用户建立的。准备删除admin用户，又发现它竟然还运行着其他进程。（伪装成Apache）

自此应急响应结束，当然中间还有很多检查步骤都省略了，只保留了有价值的过程。
最后是病毒样本：微步沙箱