阿里云被黑

阿里云被黑

3月19号手机收到大量阿里云报警短信，查看报警内容。

木马程序：http://zzhreceive.anondns.net/b2f628/b.sh

ps，pstree命令使用不了

进入/usr/bin 查看ps命令是否被修改

-rw-r--r--    1 root root         55 Aug 25  2016 ps
-rw-r--r--    1 root root      28504 Oct  1 01:20 pstree

果然修改了属性，马上添加回去

>chmod +x ps
>chmod +x pstree
chmod: changing permissions of ‘pstree’: Operation not permitted

pstree命令修改失败，使用lsattr查看

>lsattr pstree
----i--------e-- pstree

果然加了i,去掉

>chattr -i pstree

终于两个命令都执行成功了

查看root用户的.ssh/authorized_keys,防止二次入侵

>cd/root/.ssh/
-rw------- 1 root root  399 Mar 19 22:08 authorized_keys //黑客添加
-rw------- 1 root root  399 Mar 19 22:08 authorized_keys2 //黑客添加
-rw------- 1 root root 1675 Mar  2  2019 id_rsa
-rw-r--r-- 1 root root  398 Mar  2  2019 id_rsa.pub

执行删除

>rm -rf authorized_keys
rm: cannot remove ‘authorized_keys’: Operation not permitted

root用户没权限，查看lsattr

lsattr authorized_keys
-----a---------- authorized_keys

并没有加i,但是删除a属性后，就可以删除成功

>chattr -a authorized_keys
>rm -rf authorized_keys

查看定时任务

>crontab -l //查看root用户的计划任务
no crontab for root  

难道是添加了其他用户

>cat /etc/passwd
hilde:x:1000:1000::/home/hilde:/bin/bash  //多了一条

进入home目录查看添加的用户

>cd cd /home/
drwx------ 6 csx           csx           4096 Nov 29  2018 csx
drwxr-xr-x 3 root          root          4096 Mar 19 22:08 hilde //果然新增了用户，还给了root权限，果断删除
drwx------ 2 mysql         mysql         4096 Jul 14  2018 mysql

每个用户有一个以用户名命名的crontab文件，存放在/var/spool/cron/crontabs目录里。但是未发现定时任务。

>cd /var/spool/cron
>ls -a
. ..

根据阿里的报警信息,可疑文件路径: /var/spool/cron/temp-13987.rdb,也没找到这个文件。不管这么多，直接删除/var/spool/cron文件夹

查看定时任务日志,并没有数据

>cd /var/log
>ll |grep cron
-rw-------  1 root   root                   0 Mar 14 03:44 cron
-rw-------  1 root   root                   0 Feb 15 03:29 cron-20210221
-rw-------  1 root   root                   0 Feb 21 03:24 cron-20210301
-rw-------  1 root   root                   0 Mar  1 03:40 cron-20210307
-rw-------  1 root   root                   0 Mar  7 03:19 cron-20210314

开机启动项

centos7自启项已不用chkconfig改为： systemctl list-unit-files

>systemctl list-unit-files |grep enable
AssistDaemon.service                          enabled 
atd.service                                   enabled 
auditd.service                                enabled 
autovt@.service                               enabled 
cloud-config.service                          enabled 
cloud-final.service                           enabled 
cloud-init-local.service                      enabled 
...

Linux给我们提供了7中不同的启动级别0~6，用户自定义开机程序(/etc/rc.d/rc.local)

>cd /etc/rc.d
drwxr-xr-x. 2 root root 4096 Mar 22 11:50 init.d
drwxr-xr-x. 2 root root 4096 Mar 16  2020 rc0.d
drwxr-xr-x. 2 root root 4096 Mar 16  2020 rc1.d
drwxr-xr-x. 2 root root 4096 Sep 28 11:38 rc2.d
drwxr-xr-x. 2 root root 4096 Sep 28 11:38 rc3.d
drwxr-xr-x. 2 root root 4096 Sep 28 11:38 rc4.d
drwxr-xr-x. 2 root root 4096 Sep 28 11:38 rc5.d
drwxr-xr-x. 2 root root 4096 Mar 16  2020 rc6.d
-rw-r--r--  1 root root  536 Jul 14  2018 rc.local

如果确定入侵时间，可以查看当天修改的文件来排查

>ll -rta   //最近修改的文件，包括隐藏文件

找到下载木马程序的ip，阿里云安全组出方向禁掉，防止更新木马

文件属性lsattr, chattr

A：即Atime，告诉系统不要修改对这个文件的最后访问时间。

S：即Sync，一旦应用程序对这个文件执行了写操作，使系统立刻把修改的结果写到磁盘。

a：即Append Only，系统只允许在这个文件之后追加数据，不允许任何进程覆盖或截断这个文件。如果目录具有这个属性，系统将只允许在这个目录下建立和修改文件，而不允许删除任何文件。

b：不更新文件或目录的最后存取时间。

c：将文件或目录压缩后存放。

d：当dump程序执行时，该文件或目录不会被dump备份。

D:检查压缩文件中的错误。

i：即Immutable，系统不允许对这个文件进行任何的修改。如果目录具有这个属性，那么任何的进程只能修改目录之下的文件，不允许建立和删除文件。

s：彻底删除文件，不可恢复，因为是从磁盘上删除，然后用0填充文件所在区域。

u：当一个应用程序请求删除这个文件，系统会保留其数据块以便以后能够恢复删除这个文件，用来防止意外删除文件或目录。

t:文件系统支持尾部合并（tail-merging）。

X：可以直接访问压缩文件的内容。

本文由博客群发一文多发等运营工具平台 OpenWrite 发布