这是一个创建于 471 天前的主题,其中的信息可能已经有所发展或是发生改变。
今天上班发现公司网页无法访问,排查后发现是服务器 /var/log 被清空,导致 nginx 无法启动。
进一步排查发现 history和 last 被清空。被安装了 python3 ,npm
添加了两个 cron 任务
@reboot /usr/bin/sshu > /dev/null 2>&1 & disown @monthly /usr/bin/sshu > /dev/null 2>&1 & disown sshu 文件地址_Github
新增了两个用户 bash 和 server
怎么看这个文件执行了什么?
第 1 条附言 2024-07-02 17:22:15 +08:00
目前已知是挖矿文件,不过还不知道是怎么中招的,开了 ssh 密钥登录。
https://imgur.com/IcUVjIJ
https://imgur.com/IcUVjIJ
第 2 条附言 2024-07-02 19:03:34 +08:00
检查 frp 日志,最近 7 天,发现 60 万次尝试登录这台设备的日志。
可能是批量扫描,也可能疑似 `OpenSSH CVE-2024-6387 RCE` 导致?
可能是批量扫描,也可能疑似 `OpenSSH CVE-2024-6387 RCE` 导致?
第 3 条附言 2024-07-03 08:55:29 +08:00
[捂脸] 菜鸡不太了解服务器,让大家看笑话了。
不过机器上只有 k3s 和 nginx 。
nginx 是指向 k3s 的。没搞懂哪里中招了。
不过机器上只有 k3s 和 nginx 。
nginx 是指向 k3s 的。没搞懂哪里中招了。
第 4 条附言 2024-07-03 09:27:37 +08:00
伪装成 system 服务
https://imgur.com/DGf8iVS
https://imgur.com/DGf8iVS
 | 1 zhongjun96 OP 一部分 dpkg 日志  |
 | 2 aloxaf 2024-07-02 11:52:37 +08:00  1 好像只是运行了 cd /var/log ; ./log > /dev/null 2>&1 & 瞅瞅 /var/log/log 是啥? |
 | 3 dream10201 2024-07-02 12:04:17 +08:00 1 /var/log 目录下应该还有一个 log 执行文件,这个才是主要 |
 | 4 vituralfuture 2024-07-02 12:08:41 +08:00 1 大致看了一下,没有加密,没有 strip ,使用`readelf --headers sshu`可以看到正常的 elf 段结构 使用`objdum -S`人肉反汇编看了一下,似乎不是恶意程序  简单来说,把用户输入传递给`system`函数,相当于使用`sh`解释用户输入并执行,不断重复直到出现错误,然后输出错误之后退出,很正常的一个程序 使用`strings`命令看到`cd /var/log ; ./log > /dev/null 2>&1 &`比较可疑 这个 sshu 相当于一个简单的 shell ,还需要排查一下恶意指令是不是在外部传递给这个 shell 执行的,目地可能是避免被 bash 记录 history |
| 5 zhongjun96 OP https://github.com/zhongjun96/zhongjun96/blob/main/log @aloxaf @dream10201 @vituralfuture log 文件已经上传,各位大佬帮忙看看? |
| 6 zhongjun96 OP 火绒扫 log 是病毒,很奇怪,设备只开了 ssh 密钥登录,怎么入侵的?  |
 | 7 g5tf87 2024-07-02 16:03:11 +08:00 1 log 应该是个挖矿程序,可能来自于这个: https://github.com/xmrig/xmrig |
| 8 zhongjun96 OP |
 | 9 HiroLee 2024-07-02 16:48:37 +08:00 sshu 文件 如何分析? |
| 10 HiroLee 2024-07-02 16:57:30 +08:00 如何获取的 sshu 文件 |
 | 11 retanoj 2024-07-02 17:01:32 +08:00 1 log 文件是挖矿木马,/usr/bin/sshu 是它的启动软件 你想进一步查,得提供更多的信息啊。比如服务器上运行的软件?进程列表?监听列表? |
 | 12 LoeNet 2024-07-02 17:11:09 +08:00 strace -p $pid 可以不? |
| 13 zhongjun96 OP |
 | 14 badboy200600 2024-07-02 18:02:58 +08:00 如何才能看有没有被注入挖矿? |
 | 15 slowman 2024-07-02 18:05:24 +08:00 ssh 版本?难道是最新的漏洞? |
 | 16 LieEar 2024-07-02 18:10:58 +08:00 openssh 有漏洞了,是不是和这个有关? |
 | 17 dode 2024-07-02 18:19:12 +08:00 备份数据,格式化重新安装,分析漏洞原因 |
 | 18 mU9vX912XopmAoE1 2024-07-02 18:42:20 +08:00 关注 希望能找到被入侵的漏洞 |
 | 19 guisheng 2024-07-02 18:44:39 +08:00 via iPhone 安装了哪些软件或者服务 方便说下么 |
 | 20 wentx 2024-07-02 18:46:37 +08:00 |
| 21 zhongjun96 OP @1423 #15 OpenSSH_8.9p1 Ubuntu-3ubuntu0.7, OpenSSL 3.0.2 15 Mar 2022 |
| 22 zhongjun96 OP @badboy200600 #14 我是通过 lsof -i 看连接看到的 |
 | 23 zed1018 2024-07-02 18:52:06 +08:00 @zhongjun96 #21 修复版本是 8.9p1-3ubuntu0.10 |
 | 24 Remember 2024-07-02 18:52:24 +08:00 不是说 64 位不容易成功入侵吗?还有人说关掉密码登陆也不会受影响。 |
| 25 zhongjun96 OP @wentx #20 不确定和这个是否有关,几台物理机机器同时中招。 |
| 27 retanoj 2024-07-02 19:20:05 +08:00 |
 | 28 imlonghao 2024-07-02 19:25:07 +08:00 via iPhone 对外开放的端口列表发一下 |
 | 29 iminto 2024-07-02 19:39:25 +08:00 via Android 楼主偏激了,揪着 openssh 不放。 关注的方向就不对,要入侵你设备,很大部分都不需要借助 ssh 漏洞,而是通过背后的一堆服务进来的。 比如 PHP 漏洞,比如 tomcat 漏洞。。。 |
 | 30 m1nm13 2024-07-02 19:42:56 +08:00 一个个查 netstat 里面的端口才是真的.不管是干什么的,终究要对外通信.为了远程操作会建立稳定的 TCP 连接.一个个查端口 |
 | 31 tuiL2 2024-07-02 20:20:35 +08:00 看看你的其他服务的日志,有没有执行什么奇怪的请求 |
 | 32 r3a1ex0n0 2024-07-03 08:25:58 +08:00 1 不是 CVE-2024-6387 |
| 33 zhongjun96 OP @iminto #29  不太熟悉服务器。因为这台机器是 k3s-agent 。机器上只有 k3s 和 nginx |
| 34 zhongjun96 OP @imlonghao #28 机器是物理机,没开防火墙,只有 22 端口通过 frp 对外网开放了。 |
| 35 zhongjun96 OP @imlonghao #28 一共只开放了 22 和 80,443 。 80,443 都是 nginx 直接转发到 k3s 服务的。 |
 | 36 MoeMoesakura 2024-07-03 09:09:04 +08:00 k3s cve? |
| 37 retanoj 2024-07-03 09:40:42 +08:00 查一下 22 端口的 SSH 是不是 root 用户弱口令? 查一下 k3s 集群是否开放了 anonymous 匿名访问? 查一下 k3s 集群 anonymous 用户是不是被绑了管理员权限? |
| 38 zhongjun96 OP |
| 39 retanoj 2024-07-03 10:27:08 +08:00 @zhongjun96 #38 那再往里面查查? 比如通过 ngx 暴露到公网的服务到底是啥? 这个服务所在的容器是不是特权容器?或者挂载了宿主机某些目录? 以及,“多台物理机同时中招”是指多台都在挖矿? 其他机器是否可能也存在入口? |
 | 41 ekucn 2024-07-04 02:41:24 +08:00 via iPhone @julyclyde 他说的是 ssh 最新的那个漏洞,这个漏洞用的指针回写碰撞,32 位很容易,64 位难度上升几个指数,确实 64 位不容易入侵。 |
 | 43 Paulownia 2024-07-07 17:14:01 +08:00 楼主把地址公布了,让大家给你众测一下吧,哈哈哈哈 |
Select Language