记一次 Linux 挖矿病毒处理

Andrew 2020-10-10
Web安全 发布于 2020-10-10 16:01:19 阅读 66 评论 0

声明

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。

雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。

前言

从EDR设备日志中,发现爆出恶意软件问题,通过威胁日志可以发现EDR隔离后又会重新生成新的shell脚本.共发现了七台机器中病毒. (悲伤无以言表)

正文

为获取原因,登录服务器一探究竟

发现CPU一直占用很高,初步分析是挖矿脚本
ls -l /proc/pid/exe 查看异常的进程

通过线索yarn用户继续一探究竟,发现计划任务存在着EDR告警的脚本

看一下脚本内容

# !/bin/bash

通过base64解码后

exec & > /dev/null

通过脚本发现在/tmp/.X11-unix/存在以下文件

看着熟悉的数字,不难发现是脚本的进程id

此外,发现.ssh下的known_hosts被添加如下一条公钥记录

主机hosts中也添加了如下记录:

为了防止事态进一步扩大,我让老哥先把这个进程杀掉,关闭了计划任务,然后进行排查,可是没过多久,挖矿进程死灰复燃了,这次挖矿的名称变成了Xpx6dfwq,EDR并再次隔离了此脚本.
我想事情可能没那么简单,刚刚通过排查yarn用户的定时任务,仔细一想是不是别的用户还存在定时任务,难免有人怀疑。通过排查发现了另一个脚本计划任务

以下是相关代码,有想研究的小伙伴可以拿去去进行研究。

# !/bin/bash

解码以后的内容如下:

exec & > /dev/null

最后清除木马病毒和计划任务
kill -9 16806 && kill -9 17553 && rm -rf /etc/cron.d/0wlvly && chattr -i /root/.wlvly.sh && rm -rf /root/.wlvly.sh && chattr -i /opt/wlvly.sh && rm -rf /opt/wlvly.sh && rm -rf /etc/cron/yarn && chattr -i /home/.systemd-service.sh && rm -rf /home/.systemd-service.sh
同时记得清除公钥记录和hosts文件

通过近两天的观察.服务器恢复正常
后续溯源工作由于上面运行三个网站,并安装redis(存在未授权漏洞),memcache等,并且未设置日志,所以越来越难发现攻击者是从什么地方进来的。对管理员提出以下建议:
1、对redis进行安全加固和合规性配置
2、使用河马webshell查杀工具对web目录进行扫描,查看是否有遗留的webshell
3、加固操作系统,重新设置复杂度较高的密码。

原创: york 雷神众测
原文链接:https://mp.weixin.qq.com/s/a6i025tVMSwuKmm...

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!