服务器疑似被入侵,怎么看这个文件执行了什么?

94 天前
 zhongjun96

今天上班发现公司网页无法访问,排查后发现是服务器 /var/log 被清空,导致 nginx 无法启动。

进一步排查发现 historylast 被清空。被安装了 python3 ,npm
添加了两个 cron 任务 

@reboot /usr/bin/sshu > /dev/null 2>&1 & disown
@monthly /usr/bin/sshu > /dev/null 2>&1 & disown

sshu 文件地址_Github

新增了两个用户 bashserver

怎么看这个文件执行了什么?

4292 次点击
所在节点    Linux
43 条回复
zhongjun96
94 天前
一部分 dpkg 日志
aloxaf
94 天前
好像只是运行了 cd /var/log ; ./log > /dev/null 2>&1 &
瞅瞅 /var/log/log 是啥?
dream10201
94 天前
/var/log 目录下应该还有一个 log 执行文件,这个才是主要
vituralfuture
94 天前
大致看了一下,没有加密,没有 strip ,使用`readelf --headers sshu`可以看到正常的 elf 段结构

使用`objdum -S`人肉反汇编看了一下,似乎不是恶意程序

简单来说,把用户输入传递给`system`函数,相当于使用`sh`解释用户输入并执行,不断重复直到出现错误,然后输出错误之后退出,很正常的一个程序

使用`strings`命令看到`cd /var/log ; ./log > /dev/null 2>&1 &`比较可疑

这个 sshu 相当于一个简单的 shell ,还需要排查一下恶意指令是不是在外部传递给这个 shell 执行的,目地可能是避免被 bash 记录 history
zhongjun96
94 天前
https://github.com/zhongjun96/zhongjun96/blob/main/log

@aloxaf @dream10201 @vituralfuture

log 文件已经上传,各位大佬帮忙看看?
zhongjun96
94 天前
火绒扫 log 是病毒,很奇怪,设备只开了 ssh 密钥登录,怎么入侵的?
g5tf87
94 天前
log 应该是个挖矿程序,可能来自于这个: https://github.com/xmrig/xmrig
zhongjun96
94 天前
@g5tf87 #7 看 cpu 和内存占用。1~3 一直 100%。但是看 top 又没看到是哪个进程
HiroLee
94 天前
sshu 文件 如何分析?
HiroLee
94 天前
如何获取的 sshu 文件
retanoj
94 天前
log 文件是挖矿木马,/usr/bin/sshu 是它的启动软件

你想进一步查,得提供更多的信息啊。比如服务器上运行的软件?进程列表?监听列表?
LoeNet
94 天前
strace -p $pid 可以不?
zhongjun96
94 天前
@retanoj #11 的确是挖矿文件,找到了连接
badboy200600
94 天前
如何才能看有没有被注入挖矿?
1423
94 天前
ssh 版本?难道是最新的漏洞?
LieEar
94 天前
openssh 有漏洞了,是不是和这个有关?
dode
94 天前
备份数据,格式化重新安装,分析漏洞原因
fulajickhz
94 天前
关注 希望能找到被入侵的漏洞
guisheng
94 天前
安装了哪些软件或者服务 方便说下么
wentx
94 天前
https://v2ex.com/t/1054091#reply88

????? 这么快

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1054170

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX