天涯论坛

 找回密码
 立即注册
搜索
查看: 29|回复: 1

一次服务器被黑的全过程排查和思考——挖矿病毒

[复制链接]

2973

主题

412

回帖

9117万

积分

论坛元老

Rank: 8Rank: 8

积分
91179187
发表于 2024-8-22 14:50:58 | 显示全部楼层 |阅读模式

发掘网站竟然打不开了。

1、排查日志

服务器竟然没法登录了!

1)VNC登录服务器

应该是秘码登录被禁用了。

运用VNC登录。

没法经过客户端SSH远程登录时,能够经过VNC登录来登录服务器.

2)查看sshd_config文件

查看了/etc/ssh/sshd_config 文件后,发掘果然是被修改了:

[root@Practice_Server ~]# cat /etc/ssh/sshd_config|grep -Ev ^#|^$HostKey /etc/ssh/ssh_host_rsa_keyHostKey /etc/ssh/ssh_host_ecdsa_keyHostKey /etc/ssh/ssh_host_ed25519_keySyslogFacility AUTHPRIVAuthorizedKeysFile .ssh/authorized_keysPasswordAuthentication no #暗示准许秘码登录ChallengeResponseAuthentication noGSSAPIAuthentication yesGSSAPICleanupCredentials noUsePAM yesX11Forwarding yesAcceptEnv LANG LC_CTYPE LC_NUMERIC LC_TIME LC_COLLATE LC_MONETARY LC_MESSAGESAcceptEnv LC_PAPER LC_NAME LC_ADDRESS LC_TELEPHONE LC_MEASUREMENTAcceptEnv LC_IDENTIFICATION LC_ALL LANGUAGEAcceptEnv XMODIFIERSSubsystem sftp /usr/libexec/openssh/sftp-serverPasswordAuthentication no #暗示准许秘码登录

禁用了秘码登录,那应该便是用被运用私钥登录了。

先改成yes,而后重启sshd

systemctl restart sshd

3)运用终端重新登录

修改完之后,再本地运用终端工具重新登录。发掘能够登录了。

查看 authorized_keys 文件

vi /root/.ssh/authorized_keys

服务器加了秘钥对了:

4)查看登录日志

运用 last 和 history 命令 查看一下登录日志和操作日志last #查看所有登录的iphistory #查看操作的命令记录

发掘并没有反常的IP,这倒是不奇怪,假如真的被登录了,登录日志被删除的可能性是很大的。

再用 lastb 命令查看一下:

lastb #用于列出登入系统失败的用户关联信息

lastb结果解释:

第1列:用户名第二列:终端位置第三列:登录ip内核第四列:起始时间第五列:结束时间(still login in 还未退出 down 直到正常关机 crash 直到强制关机)第六列:连续时间

以上结果暗示,服务器被暴力撞库了。

IP应该是经过代理的,第二张图对方直接运用root做为用户名持续的去撞库,看来是找对了用户名,最后真的是登录了而后修改了我的秘钥对。

查一下IP:

IP是国外的,很难查到位置,有可能是代理IP。

2、找到木马文件

1)运用top命令看一下

普通的top命令基本没法表示木马进程,看起来像是很正常的样子,由于top命令很可能已然被入侵者修改:

2)busybox 命令

运行 busybox top能够看到隐匿的占用CPU的进程,原始的top已然被修改,不可表示病毒的进程,必须在busybox中执行

[root@Practice_Server ~]#  wget https://tao-1257166515.cos.ap-chengdu.myqcloud.com/busybox--2020-12-14 15:12:59-- https://tao-1257166515.cos.ap-chengdu.myqcloud.com/busyboxResolving tao-1257166515.cos.ap-chengdu.myqcloud.com (tao-1257166515.cos.ap-chengdu.myqcloud.com)... 132.232.176.6, 132.232.176.7, 139.155.60.205, ...Connecting to tao-1257166515.cos.ap-chengdu.myqcloud.com (tao-1257166515.cos.ap-chengdu.myqcloud.com)|132.232.176.6|:443... connected.HTTP request sent, awaiting response... 200 OKLength: 1001112 (978K) [application/octet-stream]Saving to: ‘busybox.1’100%[======================================>] 1,001,112 1.36MB/s in 0.7s[root@Practice_Server ~]# cp busybox /usr/bin/[root@Practice_Server ~]# busybox top-bash: /usr/bin/busybox: Permission denied[root@Practice_Server ~]# cd /usr/bin/[root@Practice_Server bin]# chmod 777 /usr/bin/busybox[root@Practice_Server ~]# busybox top

抓到了木马文件:

以上看到CPU占用率达到了近100%,挖矿无疑了。

最后和腾讯云的技术一块排查了大半天,最终揪出了以下几个木马文件,目录:

/tmp/.X25-unix/.rsync/c/tsm64/tmp/.X25-unix/.rsync/c/tsm32/tmp/.X25-unix/.rsync/a/kswapd0/usr/bin/systemd-network/usr/bin/kswaped

最后锁定这个挖矿进程名叫作是pamdicks,接下来把木马进程杀掉,而后把木马文件删除,应该就能够了。

倘若不输入全叫作,ls、ll、lsattr 文件查看命令是基本不会表示这个木马文件的:

删除前瞧瞧这个挖矿的进程到底是啥:

ls -lh /proc/5445/fd

top -H -p 5445

这个pamdicks进程有6个子线程:

最后跟踪到是个二进制文件,触及到知识范围了,没法打开,就直接删除吧。

3、删除木马文件

1)修改authorized_keys

先把authorized_keys 文件的公钥删除。当我执行 rm 命令的时候,入侵者把我的 authorized_keys 文件加了 +i 锁,不准许删除,so sad:

chattr +i /etc/authorized_keys 暗示文件不可删除,不可更改,不可移动

把服务器的chattr命令删除了,服务器被黑,删chattr命令是平常的操作。

果真找不到chattr命令了:

 只能手动把chattr 装回来,centos安装过程:

yum install e2fsprogs

安装成功:

[root@Practice_Server run]# which chattr/usr/bin/chattr

清空authorized_keys 文件:

[root@Practice_Server .ssh]# chattr -i authorized_keys[root@Practice_Server .ssh]# echo > authorized_keys[root@Practice_Server .ssh]# cat authorized_keys

2)执行 rm 命令,删除木马文件

kill掉并删除发掘的木马文件:

[root@Practice_Server .ssh]# kill -9 5445[root@Practice_Server .ssh]# chattr -i /usr/bin/pamdicks[root@VM-8-8-centos .ssh]# rm /usr/bin/pamdicksrm: remove regular file ‘/usr/bin/pamdicks’? y[root@Practice_Server .ssh]# rm /tmp/.X25-unix/.rsync/c/lib/64/tsmrm: remove regular file ‘/tmp/.X25-unix/.rsync/c/lib/64/tsm’? y

删除之后CPU运用就降下来了:

木马文件清理完毕,最后把服务器禁用秘码登录,改用生成好的秘钥对登录。暂时告一段落。




上一篇:九维团队-青队(处置)| WorkMiner挖矿木马应急处置手册
下一篇:架构师必须晓得的26项PHP安全实践
回复

使用道具 举报

1

主题

826

回帖

-1

积分

限制会员

积分
-1
发表于 2024-9-4 20:51:24 | 显示全部楼层
楼主节操掉了,还不快捡起来!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

站点统计|Archiver|手机版|小黑屋|天涯论坛 ( 非经营性网站 )|网站地图

GMT+8, 2024-11-22 23:53 , Processed in 0.098041 second(s), 21 queries .

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.