一次服务器被黑的全过程排查和思考——挖矿病毒-天涯论坛

5ep9lzv 发表于 2024-8-22 14:50:58

一次服务器被黑的全过程排查和思考——挖矿病毒

发掘网站竟然打不开了。
<img src="https://mmbiz.qpic.cn/mmbiz_png/G7WSQyicBkgjkkBvuV7tzqD0yfvgvO8D54lMUyduBiaDAuHcyA9xutfwLRSHrKlBIt6WPo8JOPDF7H4uEicRqrRKA/640?wx_fmt=png&from=appmsg&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp" style="width: 50%; margin-bottom: 20px;">
<h2 style="color: black; text-align: left; margin-bottom: 10px;">1、排查日志</h2>
服务器竟然没法登录了！
<img src="https://mmbiz.qpic.cn/mmbiz_png/G7WSQyicBkgjkkBvuV7tzqD0yfvgvO8D5TzyOoxDkeUiba91ErWHmXD6kP9FWvNBsv7MGp1yIpaX8xJpZCZWhNFg/640?wx_fmt=png&from=appmsg&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp" style="width: 50%; margin-bottom: 20px;">
<h3 style="color: black; text-align: left; margin-bottom: 10px;">1）VNC登录服务器</h3>
应该是秘码登录被禁用了。
运用VNC登录。
没法经过客户端SSH远程登录时，能够经过VNC登录来登录服务器.
<h3 style="color: black; text-align: left; margin-bottom: 10px;">2）查看sshd_config文件</h3>
查看了/etc/ssh/sshd_config 文件后，发掘果然是被修改了：# cat /etc/ssh/sshd_config|grep -Ev ^#|^$HostKey /etc/ssh/ssh_host_rsa_keyHostKey /etc/ssh/ssh_host_ecdsa_keyHostKey /etc/ssh/ssh_host_ed25519_keySyslogFacility AUTHPRIVAuthorizedKeysFile .ssh/authorized_keysPasswordAuthentication no #暗示不准许秘码登录ChallengeResponseAuthentication noGSSAPIAuthentication yesGSSAPICleanupCredentials noUsePAM yesX11Forwarding yesAcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGESAcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENTAcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGEAcceptEnv XMODIFIERSSubsystem sftp /usr/libexec/openssh/sftp-serverPasswordAuthentication no #暗示不准许秘码登录
禁用了秘码登录，那应该便是用被运用私钥登录了。
先改成yes，而后重启sshdsystemctl restart sshd
<h3 style="color: black; text-align: left; margin-bottom: 10px;">3）运用终端重新登录</h3>
修改完之后，再本地运用终端工具重新登录。发掘能够登录了。
<img src="https://mmbiz.qpic.cn/mmbiz_png/G7WSQyicBkgjkkBvuV7tzqD0yfvgvO8D5OnDAl4VGjD3ReiaqCSIT4qAfWdbtpn6fgFibc3jpUBo31wwhiazp2YLIA/640?wx_fmt=other&from=appmsg&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp" style="width: 50%; margin-bottom: 20px;">
查看 authorized_keys 文件 vi /root/.ssh/authorized_keys
服务器加了秘钥对了：
<img src="https://mmbiz.qpic.cn/mmbiz_png/G7WSQyicBkgjkkBvuV7tzqD0yfvgvO8D5NZK3NgQ0sgAjk9texk1jkgibZwfCTRk2F3aWLpMcTnLfZN6h4zykayQ/640?wx_fmt=png&from=appmsg&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp" style="width: 50%; margin-bottom: 20px;">
<h3 style="color: black; text-align: left; margin-bottom: 10px;">4）查看登录日志</h3>运用 last 和 history 命令查看一下登录日志和操作日志last #查看所有登录的iphistory #查看操作的命令记录
<img src="https://mmbiz.qpic.cn/mmbiz_png/G7WSQyicBkgjkkBvuV7tzqD0yfvgvO8D5eCBOUHwrckcphbcrLEhSOpWp3tFT8ANEbDmtdqgUuBp7AYLciaqVqRw/640?wx_fmt=png&from=appmsg&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp" style="width: 50%; margin-bottom: 20px;">
发掘并没有反常的IP，这倒是不奇怪，假如真的被登录了，登录日志被删除的可能性亦是很大的。
再用 lastb 命令查看一下:lastb #用于列出登入系统失败的用户关联信息
<img src="https://mmbiz.qpic.cn/mmbiz_png/G7WSQyicBkgjkkBvuV7tzqD0yfvgvO8D5TjFuFcIj9khh3evOQfg6AHgcTQzs0ib2IOwpxxBrc7cvreYKQetmyvw/640?wx_fmt=other&from=appmsg&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp" style="width: 50%; margin-bottom: 20px;">
<img src="https://mmbiz.qpic.cn/mmbiz_png/G7WSQyicBkgjkkBvuV7tzqD0yfvgvO8D5YWlThjzQaQDrL6WqNMbBCicRvVZdTXTHNicVGCElwffBbpIHkkv2JYhw/640?wx_fmt=other&from=appmsg&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp" style="width: 50%; margin-bottom: 20px;">
lastb结果解释：第1列：用户名第二列：终端位置第三列：登录ip或内核第四列：起始时间第五列：结束时间（still login in 还未退出 down 直到正常关机 crash 直到强制关机）第六列：连续时间
以上结果暗示，服务器被暴力撞库了。
IP应该是经过代理的，第二张图对方直接运用root做为用户名持续的去撞库，看来是找对了用户名，最后真的是登录了而后修改了我的秘钥对。
查一下IP：
<img src="https://mmbiz.qpic.cn/mmbiz_png/G7WSQyicBkgjkkBvuV7tzqD0yfvgvO8D5RPUtr76Dn2sB526KiaQcoG9JBRPr9JSZqPFvxuRpYiaqFn5uCsNZMpkg/640?wx_fmt=png&from=appmsg&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp" style="width: 50%; margin-bottom: 20px;">
<img src="https://mmbiz.qpic.cn/mmbiz_png/G7WSQyicBkgjkkBvuV7tzqD0yfvgvO8D5lFJUn648xx11bLJSKju2LX6K7XedEibiaAOFxWwGpiaFl8DYtTxSXCvCg/640?wx_fmt=png&from=appmsg&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp" style="width: 50%; margin-bottom: 20px;">
IP是国外的，很难查到位置，亦有可能是代理IP。
<h2 style="color: black; text-align: left; margin-bottom: 10px;">2、找到木马文件</h2>
<h3 style="color: black; text-align: left; margin-bottom: 10px;">1）运用top命令看一下</h3>
普通的top命令基本没法表示木马进程，看起来像是很正常的样子，由于top命令很可能已然被入侵者修改：
<img src="https://mmbiz.qpic.cn/mmbiz_png/G7WSQyicBkgjkkBvuV7tzqD0yfvgvO8D51Oibm4YeRQhJDhwJLCQHZ6LRzFTZ3ng0O64Aic3JiaLHyNNziaQCp9tQKQ/640?wx_fmt=png&from=appmsg&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp" style="width: 50%; margin-bottom: 20px;">
<h3 style="color: black; text-align: left; margin-bottom: 10px;">2）busybox 命令</h3>
运行 busybox top能够看到隐匿的占用CPU的进程，原始的top已然被修改，不可表示病毒的进程，必须在busybox中执行#  wget https://tao-1257166515.cos.ap-chengdu.myqcloud.com/busybox--2020-12-14 15:12:59-- https://tao-1257166515.cos.ap-chengdu.myqcloud.com/busyboxResolving tao-1257166515.cos.ap-chengdu.myqcloud.com (tao-1257166515.cos.ap-chengdu.myqcloud.com)... 132.232.176.6, 132.232.176.7, 139.155.60.205, ...Connecting to tao-1257166515.cos.ap-chengdu.myqcloud.com (tao-1257166515.cos.ap-chengdu.myqcloud.com)|132.232.176.6|:443... connected.HTTP request sent, awaiting response... 200 OKLength: 1001112 (978K) Saving to: ‘busybox.1’100%[======================================>] 1,001,112 1.36MB/s in 0.7s# cp busybox /usr/bin/# busybox top-bash: /usr/bin/busybox: Permission denied# cd /usr/bin/# chmod 777 /usr/bin/busybox# busybox top
抓到了木马文件：
<img src="https://mmbiz.qpic.cn/mmbiz_png/G7WSQyicBkgjkkBvuV7tzqD0yfvgvO8D5iawvGFcIWoxnGj9Mr0nAH1nzbMxd7ibgmOqOF0IUtrA2ibg5baoVprt4A/640?wx_fmt=png&from=appmsg&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp" style="width: 50%; margin-bottom: 20px;">
以上看到CPU占用率达到了近100%，挖矿无疑了。
最后和腾讯云的技术一块排查了大半天，最终揪出了以下几个木马文件，目录：/tmp/.X25-unix/.rsync/c/tsm64/tmp/.X25-unix/.rsync/c/tsm32/tmp/.X25-unix/.rsync/a/kswapd0/usr/bin/systemd-network/usr/bin/kswaped
<img src="https://mmbiz.qpic.cn/mmbiz_png/G7WSQyicBkgjkkBvuV7tzqD0yfvgvO8D5s6jiafczAeODZCtTqyia9CNrbWibfH0FweEMpKiaqeTgLFBWGz9EIGdxVA/640?wx_fmt=png&from=appmsg&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp" style="width: 50%; margin-bottom: 20px;">
最后锁定这个挖矿进程名叫作是pamdicks，接下来把木马进程杀掉，而后把木马文件删除，应该就能够了。
倘若不输入全叫作，ls、ll、lsattr 文件查看命令是基本不会表示这个木马文件的：
<img src="https://mmbiz.qpic.cn/mmbiz_png/G7WSQyicBkgjkkBvuV7tzqD0yfvgvO8D53PCDiaNN6E2U6bo2MyVcxolUnQCpoB7UptSR0crIc51Yrysp0BwIcnw/640?wx_fmt=png&from=appmsg&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp" style="width: 50%; margin-bottom: 20px;">
删除前瞧瞧这个挖矿的进程到底是啥：ls -lh /proc/5445/fd
<img src="https://mmbiz.qpic.cn/mmbiz_png/G7WSQyicBkgjkkBvuV7tzqD0yfvgvO8D5Zw59Sbq0mnW0Nx3sbslxBzUA6icsDF56CgpwibtXIoKmvjiaJyzo3KyuQ/640?wx_fmt=png&from=appmsg&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp" style="width: 50%; margin-bottom: 20px;">top -H -p 5445
这个pamdicks进程有6个子线程：
<img src="https://mmbiz.qpic.cn/mmbiz_png/G7WSQyicBkgjkkBvuV7tzqD0yfvgvO8D5Fbfh944b6PZnBgeXmsxutGdT98644HwUvPyFFhtWpRzbLOGVW8xNZQ/640?wx_fmt=other&from=appmsg&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp" style="width: 50%; margin-bottom: 20px;">
最后跟踪到是个二进制文件，触及到知识范围了，没法打开，就直接删除吧。
<h2 style="color: black; text-align: left; margin-bottom: 10px;">3、删除木马文件</h2>
<h3 style="color: black; text-align: left; margin-bottom: 10px;">1）修改authorized_keys</h3>
先把authorized_keys 文件的公钥删除。当我执行 rm 命令的时候，入侵者把我的 authorized_keys 文件加了 +i 锁，不准许删除，so sad：
<img src="https://mmbiz.qpic.cn/mmbiz_png/G7WSQyicBkgjkkBvuV7tzqD0yfvgvO8D553YzyHib7gRaPabkV5kXDmouE7ic8iafzB3868yEiaSoIdiafTIBBPxMCgg/640?wx_fmt=other&from=appmsg&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp" style="width: 50%; margin-bottom: 20px;">chattr +i /etc/authorized_keys 暗示文件不可删除，不可更改，不可移动
把服务器的chattr命令亦删除了，服务器被黑，删chattr命令是平常的操作。
果真找不到chattr命令了：
<img src="https://mmbiz.qpic.cn/mmbiz_png/G7WSQyicBkgjkkBvuV7tzqD0yfvgvO8D5lSibRVlKkjzZV9ellqdibYwpHaBbDmewiaZHCzXRs6CpFfaibTNbTp65ibg/640?wx_fmt=other&from=appmsg&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp" style="width: 50%; margin-bottom: 20px;">
<img src="https://mmbiz.qpic.cn/mmbiz_png/G7WSQyicBkgjkkBvuV7tzqD0yfvgvO8D5WQCBtTnMdicdn6oLUES3n2ehZGPEbkrePESXQlYYP3O0h0DQoTyOPTA/640?wx_fmt=other&from=appmsg&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp" style="width: 50%; margin-bottom: 20px;">
 只能手动把chattr 装回来，centos安装过程：
yum install e2fsprogs
<img src="https://mmbiz.qpic.cn/mmbiz_png/G7WSQyicBkgjkkBvuV7tzqD0yfvgvO8D5nc56VgaiaFWwXzibiaPCpqR4Ku0GhAQqjxLmQbMK8BMOkHF2CYV98U8aQ/640?wx_fmt=other&from=appmsg&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp" style="width: 50%; margin-bottom: 20px;">
安装成功：# which chattr/usr/bin/chattr
清空authorized_keys 文件：# chattr -i authorized_keys# echo > authorized_keys# cat authorized_keys
<h3 style="color: black; text-align: left; margin-bottom: 10px;">2）执行 rm 命令，删除木马文件</h3>
kill掉并删除发掘的木马文件：# kill -9 5445# chattr -i /usr/bin/pamdicks# rm /usr/bin/pamdicksrm: remove regular file ‘/usr/bin/pamdicks’? y# rm /tmp/.X25-unix/.rsync/c/lib/64/tsmrm: remove regular file ‘/tmp/.X25-unix/.rsync/c/lib/64/tsm’? y
删除之后CPU运用率就降下来了：
<img src="https://mmbiz.qpic.cn/mmbiz_png/G7WSQyicBkgjkkBvuV7tzqD0yfvgvO8D54lvhGlqSzQsHIPPmLTBJMAmkpDYueiaibmEjahBzPP2VjibeysXV0JOrw/640?wx_fmt=other&from=appmsg&wxfrom=5&wx_lazy=1&wx_co=1&tp=webp" style="width: 50%; margin-bottom: 20px;">木马文件清理完毕，最后把服务器禁用秘码登录，改用生成好的秘钥对登录。暂时告一段落。

yunpan135 发表于 2024-9-4 20:51:24

楼主节操掉了，还不快捡起来！

页: [1]

天涯论坛's Archiver

一次服务器被黑的全过程排查和思考——挖矿病毒