服务器被人挂了一个脚本

2022-10-27 12:06:13 +08:00
 xiaolajiao

长话短说.

请教高手解释解释脚本做了什么.

看得出来 zzh 是挖矿的,但是 newinit.sh 里面的一堆操作是啥呀?

昨天就操作了adduser postgres sudo.但是随后就deluser postgres sudo.

但还是被攻击进来了.

我该怎么修复漏洞?

攻击者暴露了自己的服务器地址,欢迎品玩.

两个脚本

5823 次点击
所在节点    程序员
29 条回复
masker
2022-10-27 12:12:23 +08:00
估计被提权了
xiaolajiao
2022-10-27 12:22:53 +08:00
昨天把 Postgres10 升到了 15,难不成版本有漏洞?
maskerTUI
2022-10-27 12:29:57 +08:00
重装吧,挖矿脚本真像牛皮藓一样,各种骚操作黏在系统里,搞过两三次太头疼了。
gowk
2022-10-27 12:31:25 +08:00
ssh 给我我上去看看 ( doge:
SunsetShimmer
2022-10-27 12:38:33 +08:00
看了一下 newinit.sh ,我能识别出的操作有:
删系统日志
关掉 SELINUX
把 wget 和 curl 改名(避免被用户 /自动识别?)
把 zzh 写入 cron
卸载阿里云的 aegis 和腾讯云的什么东西(安全 /监控软件?)
杀死一些安全类进程
破坏 /usr/bin/下的几个可执行
干掉其他的挖矿进程 /Docker
删缓存(?),干掉 /usr/lib/systemd/systemd-update-daily
给 ssh 加入公钥
在结尾好像又运行了什么
xiaolajiao
2022-10-27 12:40:04 +08:00
@maskerTUI 用的是 postgres 用户操作的,先删掉 postgres user 看看.这狗屎代码写了一堆进 systemd.
codingBug
2022-10-27 16:06:13 +08:00
系统重装,仅使用密钥连接
vagusss
2022-10-27 16:12:48 +08:00
之前 redis 没设置密码中过一次
xboxv
2022-10-27 16:42:36 +08:00
@vagusss 你是端口暴漏在公网吗?
DiaosSama
2022-10-27 16:51:10 +08:00
zzh 是一个很老牌的门罗挖矿蠕虫了,Cleanfda 家族的,之前分析的时候是用的 Redis 未授权,Docker API 未授权和 SSH 爆破实现蠕虫传播的,看起来现在多出一个 Postgres 的传播方式。
网上分析还是蛮多的,可以看看这篇 [Redis 未授权访问漏洞分析 cleanfda 脚本复现漏洞挖矿]( https://www.renfei.net/posts/1003501)
DiaosSama
2022-10-27 17:11:33 +08:00
看了一下你发出来的代码,横向移动的脚本 rs.sh 里没看到有对 postgresql 漏洞的利用,只是用 masscan 和 pscan 对网段里的 6379 进行了批量扫描。你机器上是不是启动了一个 Redis 服务并且没上密码就对外开放了 6379 端口?
CoderLife
2022-10-27 17:16:37 +08:00
postgres 被挂过码, 端口外放的原因
vagusss
2022-10-27 17:20:18 +08:00
@xboxv 是的,云服务器
DiaosSama
2022-10-27 17:22:13 +08:00
还有一种可能就是...你的 postges 用户是弱密码并且支持远程登录被爆破了
xiaolajiao
2022-10-27 17:33:53 +08:00
@DiaosSama 这个代码是后来一个 PR 合进来的 主要是两个脚本 new_init.sh 和 zzh.

postgres 和 redis 的远程端口都没有开放.
wshhfy
2022-10-27 17:35:06 +08:00
我之前也是 pg 端口暴露到公网被挖矿了。最后一劳永逸还是加了白名单
xiaolajiao
2022-10-27 17:38:24 +08:00
脚本都是用 postgres 用户操作的,postgres 就昨天做了手动升级 10 --> 15.
这个怎么用 postgres 用户进来的日志都没找到,很无语.
Vegetable
2022-10-27 17:43:57 +08:00
@SunsetShimmer shit ,还干掉其他挖矿进程,太卷了
nmap
2022-10-27 17:59:41 +08:00
云服务器的话对你使用没影响的,不用管它,大家都不容易
q1angch0u
2022-10-27 18:25:09 +08:00
@nmap #19 ?????????????????????????

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/890327

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX